CVE-2026-45923
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
W jądrze systemu Linux zidentyfikowano podatność w module USB catc, polegającą na braku weryfikacji opisów punktów końcowych. W wyniku tego, źle skonfigurowane urządzenia USB mogą wprowadzać nieprawidłowe typy transferów, co może prowadzić do nieprzewidzianych zachowań.
Ocena ryzyka
Organizacje mogą być narażone na ataki z wykorzystaniem wadliwych urządzeń USB, co może prowadzić do nieautoryzowanego dostępu lub destabilizacji systemu. W szczególności, urządzenia z nieprawidłowymi descriptorami mogą powodować problemy z komunikacją.
Rekomendacja
Zaleca się aktualizację jądra systemu Linux do wersji, która zawiera poprawki dla tej podatności. Należy również monitorować podłączane urządzenia USB i weryfikować ich zgodność z wymaganiami systemowymi.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: net: usb: catc: enable basic endpoint checking catc_probe() fills three URBs with hardcoded endpoint pipes without verifying the endpoint descriptors: - usb_sndbulkpipe(usbdev, 1) and usb_rcvbulkpipe(usbdev, 1) for TX/RX - usb_rcvintpipe(usbdev, 2) for interrupt status A malformed USB device can present these endpoints with transfer types that differ from what the driver assumes. Add a catc_usb_ep enum for endpoint numbers, replacing magic constants throughout. Add usb_check_bulk_endpoints() and usb_check_int_endpoints() calls after usb_set_interface() to verify endpoint types before use, rejecting devices with mismatched descriptors at probe time. Similar to - commit 90b7f2961798 ("net: usb: rtl8150: enable basic endpoint checking") which fixed the issue in rtl8150.

