Katalog CVE

CVE-2026-53150

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W jądrze Linuxa w sterowniku Thunderbolt wykryto podatność polegającą na akceptowaniu przez walidator wpisów właściwości o zerowej długości. Prowadzi to do niedomiaru bufora (underflow) przy próbie dodania znaku null, co może skutkować zapisem poza przydzieloną pamięcią.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu do pamięci jądra, co może prowadzić do eskalacji uprawnień lub destabilizacji systemu.

Rekomendacja

Należy niezwłocznie zaktualizować jądro Linuxa do wersji zawierającej poprawkę odrzucającą wpisy o zerowej długości w walidatorze właściwości Thunderbolt.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: thunderbolt: Reject zero-length property entries in validator tb_property_entry_valid() accepts entries with length == 0 for DIRECTORY, DATA, and TEXT types. A zero-length TEXT entry passes validation but causes an underflow in the null-termination logic: property->value.text[property->length * 4 - 1] = '\0'; When property->length is 0 this writes to offset -1 relative to the allocation. Reject zero-length entries early in the validator since they have no valid representation in the XDomain property protocol.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS