CVE-2026-10636
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
W implementacji IGMP dla IPv4 w systemie Zephyr występuje podatność use-after-free. Funkcja igmp_send() odczytuje wskaźnik interfejsu sieciowego z pakietu po jego wysłaniu, co może prowadzić do odczytu zwolnionej pamięci. Problem dotyczy wersji od v2.6.0 do v4.4.0.
Ocena ryzyka
Podatność może prowadzić do nieokreślonego zachowania, sporadycznych awarii systemu lub uszkodzenia statystyk sieciowych. W sprzyjających warunkach możliwa jest kontrolowana zapis do pamięci, co zwiększa ryzyko ataku DoS.
Rekomendacja
Należy niezwłocznie zaktualizować Zephyr do wersji zawierającej poprawkę, która buforuje wskaźnik interfejsu przed wysłaniem pakietu. Dla wersji, których nie można zaktualizować, rozważ wyłączenie obsługi IGMP lub ograniczenie dostępu do sieci.
Oryginalny opis (angielski, źródło NVD)
In Zephyr's IPv4 IGMP implementation, igmp_send() in subsys/net/ip/igmp.c read the network interface back out of the packet via net_pkt_iface(pkt) after the packet had been handed to net_send_data(). On the successful-send path the packet's last reference may already have been released by the L2 driver or by the network stack's TX handling (synchronously in the default NET_TC_TX_COUNT=0 immediate-transmit configuration), returning the net_pkt slab block to its free list. The subsequent net_pkt_iface(pkt) dereferences the freed packet, a use-after-free read; with CONFIG_NET_STATISTICS_PER_INTERFACE the resulting dangling interface pointer is further dereferenced for a statistics-counter write. The IGMP send path is reachable without authentication from inbound IPv4 IGMP membership queries addressed to 224.0.0.1 (net_ipv4_igmp_input - send_igmp_report/send_igmp_v3_report - igmp_send), as well as from local multicast join/leave/rejoin operations. Realistic impact is undefined behavior and potential denial of service (sporadic crash or stats corruption); a controllable write requires the asynchronous TX path plus a concurrent slab reuse. The flaw was introduced with IGMPv2 support and affects releases from v2.6.0 through v4.4.0. The fix caches the interface pointer before sending. Note the analogous IPv6 MLD path (mld_send in subsys/net/ip/ipv6_mld.c) retains the same unfixed pattern.

