CVE-2026-11576
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Poprawka bezpieczeństwa dla CVE-2025-0728 w bibliotece eclipse-threadx NetX Duo wprowadziła nową podatność. Wspólna ścieżka czyszczenia w procesie PUT serwera HTTP wywołuje funkcję fx_file_close() nawet gdy plik nie został otwarty, co prowadzi do niezdefiniowanego zachowania, podwójnego zamknięcia lub uszkodzenia pamięci.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wywołania awarii systemu lub potencjalnie do zdalnego wykonania kodu poprzez wysłanie specjalnie spreparowanego żądania PUT do serwera HTTP.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę eclipse-threadx NetX Duo do wersji zawierającej poprawną poprawkę, która zapewnia warunkowe wywoływanie fx_file_close() tylko po pomyślnym otwarciu pliku.
Oryginalny opis (angielski, źródło NVD)
The security fix for CVE-2025-0728 in eclipse-threadx NetX Duo refactors error handling in the HTTP server PUT process to use a shared cleanup label, but this unified cleanup path unconditionally calls fx_file_close() even when the file was never successfully opened. Multiple error branches jump to the shared cleanup label before any file open operation has occurred, causing fx_file_close() to operate on an uninitialized file handle, leading to undefined behavior, double-close issues, or memory corruption.

