Krytyczna luka w bibliotece golang crypto umożliwiająca pominięcie weryfikacji obecności użytkownika

Luka CVE-2026-39831 w golang crypto pozwala na pominięcie weryfikacji obecności użytkownika w kluczach FIDO/U2F, umożliwiając nieautoryzowany dostęp.
CVE-2026-39831CVSS 9.1SSH

Krytyczna luka w bibliotece golang crypto umożliwiająca pominięcie weryfikacji obecności użytkownika

Luka CVE-2026-39831 w golang crypto pozwala na pominięcie weryfikacji obecności użytkownika w kluczach FIDO/U2F, umożliwiając nieautoryzowany dostęp.

CVSS
9.1 CRITICAL
EPSS
29.31%
Aktywnie wykorzystywana
brak w KEV
Produkt
crypto

Co wiadomo

Metoda Verify() dla kluczy bezpieczeństwa FIDO/U2F w bibliotece golang crypto nie sprawdzała flagi obecności użytkownika, co pozwalało na akceptację podpisów bez fizycznego dotknięcia klucza. Luka umożliwia nieautoryzowane, bezobsługowe użycie sprzętowego klucza bezpieczeństwa.

Wpływ biznesowy

Ta luka stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z kluczy FIDO/U2F do uwierzytelniania SSH, ponieważ umożliwia nieautoryzowany dostęp bez fizycznej interakcji użytkownika. Może to prowadzić do naruszenia kontroli dostępu i potencjalnych incydentów bezpieczeństwa w infrastrukturze IT.

Rekomendowane działania administratora

Administratorzy powinni przejrzeć dostępne aktualizacje biblioteki golang crypto i zastosować je, jeśli są dostępne. W przypadku braku łatki zaleca się ograniczenie ekspozycji usług SSH korzystających z tych kluczy, monitorowanie logów pod kątem nietypowych prób uwierzytelniania oraz priorytetyzację działań naprawczych. Przywrócenie poprzedniego zachowania wymaga zwracania rozszerzenia "no-touch-required" w Permissions.Extensions z PublicKeyCallback.

Źródła