Katalog CVE

CVE-2026-10593

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W Zephyr Bluetooth LE Audio Basic Audio Profile (BAP) unicast client występuje podatność na zapis przez wskaźnik NULL. Funkcja unicast_client_ep_qos_state() zapisuje kontrolowane przez atakującego pola QoS przez wskaźnik stream->qos, który może być NULL, gdy strumień jest skonfigurowany kodekiem, ale nie dodany do grupy unicast. Zdalny serwer ASCS może wysłać powiadomienie GATT o stanie ASE QoS Configured, gdy lokalny endpoint jest w stanie Codec Configured, co powoduje zapis przez NULL i awarię systemu (odmowę usługi).

Ocena ryzyka

Atakujący może zdalnie spowodować awarię urządzenia z systemem Zephyr, wykorzystując brak walidacji wskaźnika QoS w obsłudze powiadomień BAP. Prowadzi to do przerwania działania usług audio i potencjalnie całego systemu.

Rekomendacja

Należy natychmiast zaktualizować system Zephyr do wersji zawierającej poprawkę (v4.4.1 lub nowszej). Jeśli aktualizacja nie jest możliwa, należy ograniczyć zaufane połączenia Bluetooth LE Audio do sprawdzonych urządzeń.

Oryginalny opis (angielski, źródło NVD)

The Zephyr Bluetooth LE Audio Basic Audio Profile (BAP) unicast client mishandles peer-supplied ASE state notifications. In unicast_client_ep_qos_state() (subsys/bluetooth/audio/bap_unicast_client.c), the handler writes attacker-controlled QoS fields (interval, framing, phy, sdu, rtn, latency, pd) through the stream-qos pointer with only a stream != NULL guard. stream-qos is NULL for any stream that has been codec-configured via bt_bap_stream_config() but not yet added to a unicast group (it is set only by unicast_group_add_stream()). A malicious or buggy remote ASCS server, to which the local device is connected as a BAP unicast client, can send a GATT notification announcing the ASE has entered the QoS Configured state while the local endpoint is still in the Codec Configured state — a transition the dispatcher explicitly permits — during that window, causing a write through a NULL pointer and a crash (denial of service). The data written is itself remote-controlled. The defect shipped in v4.3.0 and v4.4.0 (and earlier). The fix re-points all BAP QoS storage to the always-valid embedded ep-qos struct, eliminating the NULL dereference.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS