Katalog CVE

CVE-2026-56790

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

W aplikacji CANBoat do wersji 6.22 (poprawionej w commicie a5a22b7) wykryto podatność polegającą na błędzie off-by-one w funkcji searchForPgn() w pliku analyzer/pgn.c. Atakujący może wysłać spreparowaną wiadomość NMEA-2000 z nieprawidłową wartością PGN przez magistralę CAN lub N2K-over-IP, co prowadzi do odczytu poza zakresem tablicy i awarii aplikacji.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego spowodowania odmowy usługi (DoS) poprzez wysłanie specjalnie skonstruowanej ramki NMEA-2000, co może zakłócić działanie systemów monitorujących lub sterujących opartych na CANBoat.

Rekomendacja

Należy niezwłocznie zaktualizować CANBoat do wersji zawierającej commit a5a22b7 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsów CAN/N2K-over-IP tylko do zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

CANBoat through 6.22, fixed in commit a5a22b7, contains an off-by-one global buffer overflow in the searchForPgn() function in analyzer/pgn.c that allows remote attackers to crash the application. Attackers can deliver a crafted NMEA-2000 message with an out-of-range PGN value over CAN bus or N2K-over-IP to trigger an out-of-bounds array access and denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS