CVE-2026-53248
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność use-after-free w sterowniku sieciowym airoha. Funkcja airoha_metadata_dst_free() wywoływała metadata_dst_free(), która natychmiast zwalniała pamięć metadata_dst za pomocą kfree(), z pominięciem okresu ochronnego RCU. W ścieżce odbioru pakietów skb_dst_set_noref() ustawia wskaźnik bez zliczania referencji, co wymaga ochrony RCU i gwarancji, że dst pozostanie ważny do zakończenia wszystkich czytelników RCU.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do uzyskania dostępu do już zwolnionej pamięci jądra, co może prowadzić do wykonania dowolnego kodu, eskalacji uprawnień lub awarii systemu (DoS).
Rekomendacja
Należy natychmiast zaktualizować jądro Linux do wersji zawierającej poprawkę, która zastępuje metadata_dst_free() funkcją dst_release() z poprawnym mechanizmem RCU.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: net: airoha: Fix use-after-free in metadata dst teardown airoha_metadata_dst_free() runs metadata_dst_free() which frees the metadata_dst with kfree() immediately, bypassing the RCU grace period. In the RX path, skb_dst_set_noref() sets a non-refcounted pointer from the skb to the metadata_dst. This function requires RCU read-side protection and the dst must remain valid until all RCU readers complete. Since metadata_dst_free() calls kfree() directly, an use-after-free can occur if any skb still holds a noref pointer to the dst when the driver tears it down. Replace metadata_dst_free() with dst_release() which properly goes through the refcount path: when the refcount drops to zero, it schedules the actual free via call_rcu_hurry(), ensuring all RCU readers have completed before the memory is freed.

