Yubico PAM 模块存在重大漏洞

据Cybersecuritynews消息，硬件认证安全密钥的领先供应商 Yubico，近日披露其 PAM 软件包存在重大漏洞（CVE-2025-23013）。该漏洞影响 1.3.1 版本之前的 “pam-u2f” 软件包，主要存在于 pam_sm_authenticate () 函数的实现中。在特定条件下，如内存分配失败或权限变更问题，模块会返回 PAM_IGNORE，在启用 “nouserok” 选项的配置中，可能导致认证被绕过。 Yubico 将此漏洞评级为 “高”，CVSS 评分为 7.3。受影响客户可能面临本地权限提升或双因素认证中第二因素被绕过的风险。