CVE-2026-6685
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece FatFs R0.16 i wcześniejszych pozwala na pominięcie sprawdzania spójności pamięci podręcznej (dirty-cache) poprzez zawinięcie przy odejmowaniu bez znaku w funkcjach f_read() i f_write(). Problem występuje podczas przeplatanych operacji odczytu/zapisu na pofragmentowanych systemach plików.
Ocena ryzyka
Atakujący z fizycznym dostępem może doprowadzić do uszkodzenia danych na nośniku (np. karcie SD, dysku USB) lub całkowitej utraty integralności systemu plików, co może skutkować awarią urządzenia lub utratą krytycznych informacji.
Rekomendacja
Należy zaktualizować bibliotekę FatFs do wersji nowszej niż R0.16, jeśli dostępna. W przypadku braku łatki, należy ograniczyć fizyczny dostęp do urządzeń korzystających z tej biblioteki oraz unikać przeplatanych operacji odczytu/zapisu na pofragmentowanych systemach plików.
Oryginalny opis (angielski, źródło NVD)
FatFs R0.16 and earlier exhibits a stale dirty-cache skip via unsigned-subtraction wrap in f_read() / f_write() (fp->sect - sect < cc) during interleaved read/write on fragmented filesystems. This maps to CWE-191 (Integer Underflow). Estimated CVSS v3.1 vector: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H (6.1, Medium). The estimated CISA SSVC vectors are Exploitation: PoC, Technical Impact: Total.

