CVE-2026-6686
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
W bibliotece FatFs w wersji R0.16 i wcześniejszych wykryto podatność polegającą na pozostawieniu niezainicjalizowanych klastrów podczas rozszerzania plików poza koniec pliku (EOF) za pomocą funkcji f_lseek(). Nowo przydzielone klastry nie są wypełniane zerami, co może prowadzić do ujawnienia danych.
Ocena ryzyka
Ryzyko polega na potencjalnym wycieku poufnych danych z niezainicjalizowanych obszarów pamięci, co może narazić organizację na utratę poufności informacji.
Rekomendacja
Zaleca się aktualizację biblioteki FatFs do wersji nowszej niż R0.16, która zawiera poprawkę usuwającą tę podatność, lub ręczne wypełnianie zerami nowo przydzielonych klastrów.
Oryginalny opis (angielski, źródło NVD)
FatFs R0.16 and earlier contains an uninitialized cluster exposure when f_lseek() extends files beyond EOF without zero-filling newly allocated clusters. This maps to CWE-908 (Use of Uninitialized Resource). Estimated CVSS v3.1 vector: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N (4.6, Medium). The estimated CISA SSVC vectors are Exploitation: PoC, Technical Impact: Partial.

