CVE-2026-56116
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w dhcpcd do wersji 10.3.2 powoduje wyciek pamięci podczas obsługi informacji o trasach w reklamach routera IPv6. Nieuwierzytelniony atakujący z tej samej sieci może wysłać spreparowane reklamy routera, co prowadzi do wyczerpania pamięci i awarii demona.
Ocena ryzyka
Atakujący może spowodować awarię usługi DHCP na urządzeniu, co uniemożliwi klientom uzyskanie adresów IP i innych konfiguracji sieciowych, prowadząc do przerw w działaniu sieci.
Rekomendacja
Należy natychmiast zaktualizować dhcpcd do wersji zawierającej poprawkę (commit 708b4a5) lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć zaufane źródła reklam routera IPv6 za pomocą zapory sieciowej.
Oryginalny opis (angielski, źródło NVD)
dhcpcd through 10.3.2, fixed in commit 708b4a5, contains a memory leak vulnerability in the IPv6 Router Advertisement route information handling that allows an unauthenticated same-link attacker to cause denial of service by sending crafted Router Advertisements. Attackers can repeatedly send Router Advertisements containing Route Information options with a lifetime of zero, triggering unfreed allocations in routeinfo_findalloc() that cause linear memory exhaustion and eventual daemon crash.

