CVE-2026-53220
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność w module netfilter, gdzie funkcja ebt_redirect_tg() nie sprawdzała wartości NULL zwracanej przez br_port_get_rcu(). Może to prowadzić do paniki jądra, gdy port mostka zostanie usunięty między wywołaniem haka a reiniekcją NFQUEUE. Dodatkowo, użytkownik może przenieść urządzenie do innego wirtualnego interfejsu, co wymaga porzucenia pakietu.
Ocena ryzyka
Atakujący z uprawnieniami użytkownika może spowodować awarię systemu (kernel panic) poprzez usunięcie portu mostka lub zmianę jego konfiguracji w trakcie przetwarzania pakietów, co prowadzi do odmowy usługi (DoS).
Rekomendacja
Należy natychmiast zaktualizować jądro Linux do wersji zawierającej poprawkę, która zastępuje wywołanie br_port_get_rcu() interfejsem _upper API i dodaje odpowiednie sprawdzenia.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: netfilter: revalidate bridge ports ebt_redirect_tg() dereferences br_port_get_rcu() return without a NULL check, causing a kernel panic when the bridge port has been removed between the original hook invocation and an NFQUEUE reinject. A mere NULL check isn't sufficient, however. As sashiko review points out userspace can not only remove the port from the bridge, it could also place the device in a different virtual device, e.g. macvlan. If this happens, we must drop the packet, there is no way for us to reinject it into the bridge path. Switch to _upper API, we don't need the bridge port structure. Also, this fix keeps another bug intact: Both nfnetlink_log and nfnetlink_queue use CONFIG_BRIDGE_NETFILTER too aggressive, which prevents certain logging features when queueing in bridge family: NETFILTER_FAMILY_BRIDGE can be enabled while the old CONFIG_BRIDGE_NETFILTER cruft is off. Fixes tag is a common ancestor, this was always broken.

