漏洞概述
openCryptoki 是一个用于 Linux 和 AIX 系统的 PKCS#11 库,提供相关工具支持。在 2.3.2 及以上版本中,当以特权上下文(如 root)运行时,存在符号链接跟随(symlink-following)问题。具有 token-group 成员身份的本地用户可通过在组可写 token 目录中植入符号链接,将文件操作重定向至任意文件系统目标,从而实现权限提升或敏感数据泄露。
漏洞详情
- CVE 编号:CVE-2026-23893
- 漏洞类型:CWE-59(符号链接问题)
- CVSS 评分:6.8(中危)
向量:CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:L - 影响版本:openCryptoki 2.3.2 及更高版本(截至公告发布时尚未包含修复补丁的正式版本)
影响范围
所有使用 openCryptoki 2.3.2 或更高版本的 Linux 和 AIX 系统,且配置了 token-group 用户并以 root 权限运行 PKCS#11 应用程序或管理工具的环境均受影响。token 目录和锁目录默认权限为 0770(组可写),允许 token-group 成员创建文件和符号链接。
风险分析
攻击者需具备本地账户并属于 token-group。当管理员执行涉及 token 目录内文件所有权(chown)或权限修改的维护操作时,攻击者可利用预先植入的符号链接,诱使系统对任意文件执行权限变更或覆盖操作,从而可能导致权限提升、敏感信息泄露或系统完整性破坏。
修复建议
- 目前官方已在 commit
5e6e4b4中修复该问题,但尚未发布包含此修复的正式版本。建议用户监控项目更新,及时升级至包含修复的后续版本。 - 临时缓解措施:限制 token-group 成员数量;将 token 目录权限从 0770 调整为 0700(仅所有者可访问),以防止非授权用户创建符号链接;避免以 root 身份运行不必要的 PKCS#11 管理工具。
