Katalog CVE

CVE-2026-9263

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Podatność w warstwie adaptacyjnej ISO stosu Bluetooth Zephyra (isoal.c) nie sprawdza poprawności długości segmentu startowego ramki PDU ISO. Atakujący przez radio może wysłać spreparowany segment, powodując niedomiar liczby całkowitej i odczyt poza zakresem bufora.

Ocena ryzyka

Organizacja narażona jest na wyciek informacji z pamięci kontrolera do hosta oraz potencjalną odmowę usługi (DoS) przez zdalnego atakującego w zasięgu Bluetooth.

Rekomendacja

Należy niezwłocznie zaktualizować Zephyr RTOS do wersji zawierającej poprawkę odrzucającą segmenty startowe o długości mniejszej niż 3 bajty.

Oryginalny opis (angielski, źródło NVD)

The Zephyr Bluetooth controller ISO Adaptation Layer (subsys/bluetooth/controller/ll_sw/isoal.c) fails to validate the length field of a framed ISO PDU start segment. Per the Bluetooth specification a start segment (sc=0) always carries a 3-byte time_offset, so its segment-header len must be at least PDU_ISO_SEG_TIMEOFFSET_SIZE (3). isoal_check_seg_header() accepted start segments with len < 3 as valid, and isoal_rx_framed_consume() then computed length = seg_hdr->len - 3 in a uint8_t, underflowing to 253-255 when len is 0-2. That oversized length is passed to isoal_rx_append_to_sdu(), whose copy is clamped only against the destination SDU buffer size, not the source PDU length, so up to ~255 bytes of controller memory beyond the received PDU are copied (via sink_sdu_write_hci()/net_buf_add_mem) into an HCI ISO data packet and delivered to the host. The PDU and its segment headers are entirely attacker-controlled and arrive over the air, reachable through both the CIS and BIS-sync HCI data paths (hci_driver.c) and the vendor data path (ull_iso.c), so a remote CIS peer or a broadcaster the device is synced to can trigger an out-of-bounds read causing information disclosure to the host and potential denial of service (faults or malformed oversized HCI ISO packets). The flaw affects all Zephyr releases since framed ISO reception was introduced in v3.0.0. The fix rejects sc=0 segments with len < 3 in isoal_check_seg_header() and adds a guard before the subtraction in isoal_rx_framed_consume().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS