漏洞标题
Opensc:当卡跟踪自己的登录状态时,可能存在绕过pin的情况
漏洞描述信息
## 漏洞概述
OpenSC软件包中存在一个绕过PIN验证的漏洞。当一个进程验证了token或卡时,其他进程可以通过传递空的零长度PIN来执行加密操作,从而绕过PIN验证。这可能导致用户在不知情的情况下被未经授权的访问或执行恶意操作。
## 影响版本
未提供具体版本信息。
## 漏洞细节
当一个token或卡通过一个进程验证后,其他进程可以使用空的零长度PIN来执行加密操作,而不是要求再次输入PIN码。此问题特别影响操作系统登录/屏幕解锁以及始终连接到计算机的小型固定token。
## 漏洞影响
此漏洞可能导致攻击者未经授权访问系统,执行恶意操作或通过内部跟踪登录状态来对系统进行破坏。用户对此过程完全不知情。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
Opensc: potential pin bypass when card tracks its own login state
漏洞描述信息
A flaw was found in OpenSC packages that allow a potential PIN bypass. When a token/card is authenticated by one process, it can perform cryptographic operations in other processes when an empty zero-length pin is passed. This issue poses a security risk, particularly for OS logon/screen unlock and for small, permanently connected tokens to computers. Additionally, the token can internally track login status. This flaw allows an attacker to gain unauthorized access, carry out malicious actions, or compromise the system without the user's awareness.
CVSS信息
CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
OpenSC 安全漏洞
漏洞描述信息
OpenSC是一款开源的智能卡工具和中间件。 OpenSC 0.17.0 到0.23.0版本存在安全漏洞,该漏洞源于当令牌卡插入计算机并进行身份验证时,存在潜在的 PIN 绕过。
CVSS信息
N/A
漏洞类别
其他