Katalog CVE

CVE-2026-10658

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

W Zephyr Bluetooth Host w ścieżce odbioru ISO brakuje walidacji długości nagłówka SDU. Nieprawidłowo sformowane dane HCI ISO mogą wywołać asercję jądra (odmowa usługi) lub odczyt poza zakresem bufora.

Ocena ryzyka

Atakujący może zdalnie spowodować awarię systemu (DoS) poprzez wysłanie spreparowanego pakietu HCI ISO, co prowadzi do przerwania działania urządzenia wykorzystującego Zephyr z włączoną obsługą ISO.

Rekomendacja

Należy zaktualizować Zephyr do wersji zawierającej poprawkę walidacji długości w bt_iso_recv() lub wyłączyć CONFIG_BT_ISO_RX, jeśli nie jest wymagane.

Oryginalny opis (angielski, źródło NVD)

A missing length validation in the Zephyr Bluetooth Host ISO receive path can be triggered by malformed HCI ISO data. In bt_iso_recv() (subsys/bluetooth/host/iso.c), when processing PB=START/SINGLE fragments, the code pulls a TS SDU header (8 bytes, ts=1) or a non-TS SDU header (4 bytes, ts=0) without first verifying that buf->len contains at least that many bytes. The outer HCI ISO length check in hci_iso() validates payload length consistency but not the minimum inner SDU header size, so a packet with payload length 1 passes hci_iso() and then reaches net_buf_pull_mem(), which asserts buf->len >= len. As a result, malformed ISO traffic deterministically triggers a kernel assert (denial of service) in assert-enabled builds, and in non-assert builds the same path may proceed with an undersized buffer, leading to out-of-bounds read behavior. The issue affects products using the Zephyr Host with CONFIG_BT_ISO_RX enabled, particularly where incoming HCI data can be influenced by a malicious or compromised controller or malformed forwarded ISO traffic.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS