Katalog CVE

CVE-2025-71131

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

W jądrze Linuxa w module seqiv wykryto podatność polegającą na odwoływaniu się do pola req->iv po wywołaniu funkcji crypto_aead_encrypt. Po jej zakończeniu żądanie może zostać zwolnione przez asynchroniczne zakończenie, co prowadzi do użycia zwolnionej pamięci.

Ocena ryzyka

Ryzyko polega na potencjalnym naruszeniu integralności danych lub wykonaniu nieautoryzowanego kodu w wyniku dostępu do zwolnionej pamięci, co może umożliwić atakującemu eskalację uprawnień lub destabilizację systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację jądra Linuxa do wersji zawierającej poprawkę, która zastępuje odwołanie do req->iv nową zmienną unaligned_info.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: crypto: seqiv - Do not use req->iv after crypto_aead_encrypt As soon as crypto_aead_encrypt is called, the underlying request may be freed by an asynchronous completion. Thus dereferencing req->iv after it returns is invalid. Instead of checking req->iv against info, create a new variable unaligned_info and use it for that purpose instead.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS