CVE-2026-53131
KrytyczneCVSS 9.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność w podsystemie netfilter, gdzie funkcje takie jak `ip6t_eui64`, `xt_mac` oraz niektóre typy ipset (`bitmap:ip,mac`, `hash:ip,mac`, `hash:mac`) i `nf_log_syslog` uzyskiwały dostęp do nagłówka Ethernet (`eth_hdr(skb)`) bez uprzedniego sprawdzenia, czy ramka jest powiązana z urządzeniem Ethernetowym oraz czy nagłówek MAC jest poprawnie ustawiony i ma odpowiednią długość. Brak tych walidacji mógł prowadzić do nieprawidłowego odczytu danych.
Ocena ryzyka
Ryzyko polega na możliwości odczytu nieprawidłowych danych z bufora jądra, co może skutkować ujawnieniem informacji lub niestabilnością systemu. Atakujący mógłby wysłać spreparowany pakiet, który ominie kontrolę i spowoduje błędne działanie filtrów sieciowych.
Rekomendacja
Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę, która dodaje wymagane sprawdzenia przed dostępem do nagłówka Ethernet. Należy monitorować oficjalne biuletyny bezpieczeństwa dystrybucji Linux.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: netfilter: require Ethernet MAC header before using eth_hdr() `ip6t_eui64`, `xt_mac`, the `bitmap:ip,mac`, `hash:ip,mac`, and `hash:mac` ipset types, and `nf_log_syslog` access `eth_hdr(skb)` after either assuming that the skb is associated with an Ethernet device or checking only that the `ETH_HLEN` bytes at `skb_mac_header(skb)` lie between `skb->head` and `skb->data`. Make these paths first verify that the skb is associated with an Ethernet device, that the MAC header was set, and that it spans at least a full Ethernet header before accessing `eth_hdr(skb)`.

