平台
linux
组件
libfido2
修复版本
1.17.0
CVE-2026-40947 describes a DLL hijacking vulnerability discovered in Yubico's libfido2 library, impacting versions from 0.0.0 through 5.9.1. This flaw allows a malicious actor to potentially execute arbitrary code by strategically placing a malicious DLL within the library's search path. The vulnerability also affects dependent projects like python-fido2 and yubikey-manager before their respective fixed versions. A patch has been released in libfido2 5.9.1, python-fido2 2.2.0, and yubikey-manager 5.9.1.
CVE-2026-40947 影响 libfido2、python-fido2 和 yubikey-manager 库,版本低于 1.17.0、2.2.0 和 5.9.1。问题在于存在非预期的 DLL 搜索路径。这可能允许攻击者在这些库使用的环境中,操纵共享库(DLL)的加载。攻击者可能加载恶意 DLL 而不是合法的库,从而导致受影响进程的权限执行任意代码。此漏洞的严重程度在很大程度上取决于部署环境以及使用这些库的进程的权限。成功的利用需要攻击者控制运行时环境并能够影响 DLL 搜索路径。
利用 CVE-2026-40947 需要攻击者能够控制或影响 DLL 搜索路径的环境。这在受影响的库在具有提升权限的应用程序中使用的系统或在不受信任的环境中运行的系统上更有可能发生。攻击者可以在应用程序使用这些库之前,将恶意 DLL 放置在 DLL 搜索路径中的位置。然后,恶意 DLL 将被加载而不是合法的库,从而使攻击者能够执行任意代码。利用的难度取决于系统配置和实施的安全措施。
Systems utilizing older versions of libfido2, python-fido2, or yubikey-manager are at risk. This includes environments where these libraries are used in automated build processes or where directory permissions are not strictly enforced. Shared hosting environments where multiple users have write access to common directories are particularly vulnerable.
• linux / server:
find /usr/lib/x86_64-linux-gnu/ -name '*.so' -type f -print0 | xargs -0 ls -l | grep libfido2• linux / server:
journalctl -f | grep "libfido2"• linux / server:
lsof -i :22 | grep libfido2disclosure
漏洞利用状态
EPSS
0.01% (0% 百分位)
CISA SSVC
CVE-2026-40947 的主要缓解措施是更新到受影响库的修复版本:libfido2 1.17.0 或更高版本、python-fido2 2.2.0 或更高版本和 yubikey-manager 5.9.1 或更高版本。这些更新删除了非预期的 DLL 搜索路径,从而防止加载恶意库。此外,建议采用标准的共享库处理安全实践,例如使用访问控制列表 (ACL) 来限制包含 DLL 的目录的访问。监控系统日志中与库加载相关的异常活动也有助于检测和响应潜在攻击。实施这些安全措施将大大降低与此漏洞相关的风险。
Actualice la biblioteca libfido2 a la versión 1.17.0 o superior para mitigar el riesgo de vulnerabilidad en la ruta de búsqueda de DLL. Verifique las instrucciones de actualización específicas proporcionadas por Yubico en su aviso de seguridad (https://www.yubico.com/support/security-advisories/ysa-2026-01/). Asegúrese de actualizar también las dependencias relacionadas, como python-fido2 y yubikey-manager a sus versiones corregidas (2.2.0 y 5.9.1 respectivamente).
漏洞分析和关键警报直接发送到您的邮箱。
DLL(Dynamic Link Library,动态链接库)是可由多个程序同时使用的代码库。它包含可以由其他应用程序调用的函数和资源。
DLL 搜索路径是操作系统在应用程序需要加载 DLL 时引用的目录列表。如果多个目录中存在相同名称的 DLL,则操作系统将在路径中找到第一个 DLL。
您可以通过在命令行中运行 libfido2-cli --version 命令来检查 libfido2 的版本。
如果无法立即更新,请考虑实施缓解措施,例如限制对包含 DLL 的目录的访问以及监控系统日志。
不一定。此漏洞仅影响直接使用这些漏洞库或通过使用它们的应用程序的用户。
CVSS 向量