Katalog CVE

CVE-2026-10638

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

W stosie sieciowym Zephyra w pliku icmpv6.c występuje podatność use-after-free. Po wysłaniu pakietu przez net_try_send_data() funkcje icmpv6_handle_echo_request() i net_icmpv6_send_error() odwołują się do zwolnionego pakietu, co może prowadzić do awarii systemu lub potencjalnego uszkodzenia pamięci.

Ocena ryzyka

Nieuwierzytelniony atakujący zdalnie może wywołać awarię systemu lub potencjalnie nadpisać pamięć, wysyłając żądanie ICMPv6 Echo Request (ping) lub pakiet IPv6 wywołujący błąd ICMPv6. Może to prowadzić do przerwania działania usług i naruszenia integralności danych.

Rekomendacja

Należy natychmiast zaktualizować Zephyr do wersji zawierającej poprawkę (commit 86e21665d46 dla ICMPv4 i analogiczną dla ICMPv6) lub zastosować łatkę ręcznie. W międzyczasie można rozważyć wyłączenie CONFIG_NET_NATIVE_IPV6, jeśli nie jest wymagane.

Oryginalny opis (angielski, źródło NVD)

subsys/net/ip/icmpv6.c reads the network interface from a net_pkt after that packet has been handed to net_try_send_data(). In icmpv6_handle_echo_request() and net_icmpv6_send_error(), the post-send statistics update calls net_pkt_iface(reply)/net_pkt_iface(pkt) on the just-sent packet. The send path (net_try_send_data - net_if_tx) unreferences and may free the packet back to its memory slab before returning — synchronously in the RX thread when no TX queue is configured (CONFIG_NET_TC_TX_COUNT == 0), and asynchronously the driver/L2 may already have freed it otherwise. net_pkt_iface() therefore dereferences a freed (and possibly reused) net_pkt; with CONFIG_NET_STATISTICS_PER_INTERFACE the stale iface pointer is further dereferenced and written through (iface-stats.icmp.sent++), turning the use-after-free read into a write through an attacker-influenceable pointer. The core stack already documents this hazard in net_core.c ("do not use pkt after that call") and caches iface before sending; the ICMPv6 callers did not. An unauthenticated remote attacker triggers the flaw simply by sending an ICMPv6 Echo Request (ping) or an IPv6 packet that elicits an ICMPv6 error (unknown next header, fragment reassembly timeout, destination unreachable), leading to denial of service via crash and potential memory corruption. Affected: Zephyr networking with CONFIG_NET_NATIVE_IPV6, roughly v4.2.0 through v4.4.0. The fix caches the interface pointer before sending and uses it for all statistics updates; the sibling commit 86e21665d46 fixes the identical bug in ICMPv4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS