← Retour
Hardware / Firmware
CVE-2026-33317 high CVSS 8.7

OP-TEE is a Trusted Execution Environment (TEE) designed as companion to a non-secure Linux kernel running on Arm; Cortex-A cores using the TrustZone technology. In versions 3.13.0 through 4.10.0, mis...

Résumé

OP-TEE is a Trusted Execution Environment (TEE) designed as companion to a non-secure Linux kernel running on Arm; Cortex-A cores using the TrustZone technology. In versions 3.13.0 through 4.10.0, missing checks in `entry_get_attribute_value()` in `ta/pkcs11/src/object.c` can lead to out-of-bounds...

Résumé IA openai / gpt-4o

Une vulnérabilité référencée **CVE-2026-33317** a été découverte dans c. Des attaquants peuvent cibler un point d'entrée spécifique comme ``PKCS11_CMD_GET_ATTRIBUTE_VALUE`` à distance pour détourner le produit. Des informations confidentielles peuvent être exposées. Score CVSS : 8.7/10. Action : appliquez le correctif officiel de l'éditeur. En cas de doute, contactez votre service informatique ou cherchez « c CVE-2026-33317 » sur le site de l'éditeur.
CVE-2026-33317 (c) — CWE-125 / CVSS v3 8.7 Vecteur d'attaque : local / sans interaction utilisateur Surface d'attaque : `PKCS11_CMD_GET_ATTRIBUTE_VALUE` / `template` Versions affectées : `>= 3.13.0` Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs. Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
この脆弱性は、PKCS#11 TAヒープへの範囲外読み取りが原因です。
📍 Périmètre concerné
OP-TEEのバージョン3.13.0から4.10.0
🔥 Gravité
範囲外読み取りにより、システムクラッシュや任意のコード実行が可能になる。
🔧 Comment corriger
修正はコミットe031c4e562023fd9f199e39fd2e85797e4cbdca9、16926d5a46934c46e6656246b4fc18385a246900、149e8d7ecc4ef8bb00ab4a37fd2ccede6d79e1caで提供されている。
🛡️ Contournement
ワークアラウンドは特に提供されていない。新バージョンへのアップデートが推奨される。
🔍 Détection
影響を受けるバージョンを確認することで脆弱性の有無を判定可能。

Références

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →