CVE-2026-10649
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 - wyżej niż 40% wszystkich znanych CVE
Streszczenie
W Pacemaker odkryto podatność polegającą na przepełnieniu liczby całkowitej podczas dekompresji zdalnych wiadomości. Nieuwierzytelniony atakujący może wysłać specjalnie spreparowaną skompresowaną wiadomość przed uwierzytelnieniem, powodując uszkodzenie pamięci i odmowę usługi (DoS) w słuchaczu CIB.
Ocena ryzyka
Atak może doprowadzić do awarii usługi Pacemaker, co w środowisku klastrowym może skutkować przerwaniem działania aplikacji i utratą dostępności usług krytycznych.
Rekomendacja
Należy niezwłocznie zaktualizować Pacemaker do wersji zawierającej poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu CIB tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Pacemaker. An unauthenticated remote attacker can exploit an integer overflow vulnerability in the remote message decompression process. By sending a specially crafted compressed remote message before authentication, an attacker can cause memory corruption, leading to a denial of service (DoS) in the CIB remote listener. This can result in the affected service crashing.

