CVE-2026-25139
CriticalSummary
RIOT to otwartoźródłowy system operacyjny dla mikrokontrolerów, zaprojektowany z myślą o urządzeniach IoT i innych urządzeniach wbudowanych. W wersji 2025.10 i wcześniejszych, występuje wiele przypadków odczytu poza zakresem, które pozwalają nieautoryzowanym użytkownikom na odczytanie sąsiednich lokalizacji pamięci lub awarię podatnego urządzenia działającego na stosie 6LoWPAN.
Risk Assessment
Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do pamięci urządzeń, co może prowadzić do wycieku danych lub awarii systemu. Brak znanych poprawek zwiększa zagrożenie dla bezpieczeństwa urządzeń korzystających z tego systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji RIOT, gdy tylko zostanie wydana poprawka. W międzyczasie, należy ograniczyć dostęp do urządzeń oraz monitorować ruch sieciowy w celu wykrycia potencjalnych ataków.
Original NVD description (English source)
RIOT is an open-source microcontroller operating system, designed to match the requirements of Internet of Things (IoT) devices and other embedded devices. In version 2025.10 and prior, multiple out-of-bounds read allow any unauthenticated user, with ability to send or manipulate input packets, to read adjacent memory locations, or crash a vulnerable device running the 6LoWPAN stack. The received packet is cast into a sixlowpan_sfr_rfrag_t struct and dereferenced without validating the packet is large enough to contain the struct object. At time of publication, no known patch exists.

