CVE-2025-70101
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
W bibliotece lwext4 1.0.0 w funkcji ext4_ext_binsearch_idx w pliku src/ext4_extent.c występuje odczyt poza zakresem pamięci. Podatność wynika z niewystarczającej walidacji pól nagłówka extent przed wykonaniem wyszukiwania binarnego, co może prowadzić do nieprawidłowych obliczeń wskaźników i odczytu poza dozwolonym obszarem pamięci podczas przeglądania drzewa extent.
Ocena ryzyka
Atakujący może wykorzystać tę podatność, dostarczając specjalnie spreparowany obraz systemu plików ext4, co może doprowadzić do odmowy usługi (DoS) poprzez awarię lub zawieszenie aplikacji korzystającej z biblioteki lwext4.
Rekomendacja
Należy zaktualizować bibliotekę lwext4 do wersji zawierającej poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się unikanie montowania niezaufanych obrazów ext4 w aplikacjach korzystających z lwext4.
Oryginalny opis (angielski, źródło NVD)
An out-of-bounds read in the ext4_ext_binsearch_idx function in src/ext4_extent.c of the lwext4 1.0.0 library allows attackers to cause a denial of service by supplying a specially crafted ext4 filesystem image. The vulnerability occurs due to insufficient validation of extent header fields before performing a binary search over extent index entries, which can result in invalid pointer calculations and an out-of-bounds memory read during extent tree traversal.

