关键信息 漏洞编号: YSA-2025-02 CVE编号: CVE-2025-25991 CVSS评分: 2.2 影响设备: - YubiKey 5 Series versions 5.4.1 through 5.7.3 - YubiKey 5 FIPS Series versions 5.4.1 through 5.7.3 - YubiKey 5 CSPN Series version 5.4.2 - YubiKey Bio Series versions 5.5.0 through 5.7.3 - Security Key Series versions 5.4.1 through 5.7.3 不受影响设备: - YubiKey 5 Series versions 5.4.0 and older and versions 5.7.4 and newer - YubiKey 5 FIPS Series versions 5.7.4 and newer - YubiKey Bio Series versions 5.7.4 and newer - Security Key Series all versions 5.4.0 and older and versions 5.7.4 and newer - All YubiHSM 2 versions - All YubiHSM 2 FIPS versions 问题描述: 在YubiKeys的FIDO CTAP PIN/UV Auth Protocol Two实现中,存在低严重性问题。受影响版本的YubiKey在验证步骤中使用了CTAP PIN/UV Auth Protocol One的16字节签名长度,即使期望的是32字节的CTAP PIN/UV Auth Protocol Two签名。 缓解措施: 用户应继续在安装软件时保持谨慎,并控制YubiKeys以避免本地和物理威胁。 时间线: - 2024年10月22日: Yubico被Robby Cornelissen通知 - 2025年4月1日: YubiKey 5.7.4发布 - 2025年4月2日: Yubico发布YSA-2025-02公告