CVE-2025-70100
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność dzielenia przez zero w funkcji ext4_block_set_lb_size biblioteki lwext4 1.0.0 umożliwia atakującemu wywołanie odmowy usługi poprzez dostarczenie zniekształconego obrazu systemu plików ext4 z zerowym rozmiarem bloku logicznego. Błąd występuje podczas montowania lub przetwarzania obrazu, prowadząc do wyjątku zmiennoprzecinkowego (FPE) w środowiskach z sanitizerami lub awarii w standardowych kompilacjach z powodu braku walidacji lb_size.
Ocena ryzyka
Organizacja narażona jest na ataki DoS, które mogą zakłócić działanie systemów korzystających z biblioteki lwext4 do obsługi obrazów ext4, szczególnie w środowiskach wbudowanych lub narzędziach do analizy systemów plików.
Rekomendacja
Należy zaktualizować bibliotekę lwext4 do wersji zawierającej poprawkę walidującą lb_size przed użyciem w dzieleniu, lub zastosować tymczasowe obejście polegające na weryfikacji obrazów ext4 przed ich przetworzeniem.
Oryginalny opis (angielski, źródło NVD)
A divide-by-zero vulnerability in the ext4_block_set_lb_size function in src/ext4_blockdev.c of the lwext4 1.0.0 library allows attackers to cause a denial of service by providing a malformed ext4 filesystem image that results in a zero logical block size. The vulnerability is triggered during mount or image processing and leads to a Floating-Point Exception (FPE) under sanitizers or a runtime crash in standard builds due to missing validation of lb_size.

