CVE-2026-10639
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
W stosie IPv4 systemu Zephyr wykryto podatność use-after-free w funkcji icmpv4_handle_echo_request(). Po wysłaniu odpowiedzi ICMP Echo Reply, kod odwołuje się do struktury net_pkt, która została już zwolniona, co może prowadzić do odczytu z nieprawidłowego obszaru pamięci. Problem występuje przy włączonej statystyce ICMP (CONFIG_NET_STATISTICS_ICMP) i może być wykorzystany zdalnie przez wysłanie pinga.
Ocena ryzyka
Atakujący może zdalnie wywołać awarię systemu (DoS) poprzez wysłanie pakietu ICMP Echo Request, co prowadzi do odczytu lub zapisu przez zwolniony wskaźnik. Może to skutkować uszkodzeniem statystyk interfejsu sieciowego lub całkowitym zatrzymaniem urządzenia.
Rekomendacja
Należy niezwłocznie zaktualizować Zephyr do wersji zawierającej poprawkę (powyżej v4.4.0). Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz statystyki ICMP (CONFIG_NET_STATISTICS_ICMP=n) lub zablokuj ruch ICMP na zaporze sieciowej.
Oryginalny opis (angielski, źródło NVD)
In Zephyr's native IPv4 stack, icmpv4_handle_echo_request() in subsys/net/ip/icmpv4.c builds an echo-reply packet (reply), hands it to net_try_send_data(), and then, on success, calls net_stats_update_icmp_sent(net_pkt_iface(reply)). net_try_send_data() transfers ownership of reply to the TX path (net_if_try_queue_tx - net_if_tx - L2/driver send, or the asynchronous net_if_tx_thread), which can unref it to refcount 0 and return the struct net_pkt to its slab (net_pkt_unref - k_mem_slab_free) before the stats line runs. net_core.c documents this exact contract ('the pkt might contain garbage already ... do not use pkt after that call'). The post-send net_pkt_iface(reply) therefore reads reply-iface out of a freed (and possibly already reallocated) net_pkt, a use-after-free read; with CONFIG_NET_STATISTICS_PER_INTERFACE the stats macro additionally increments a counter through that value, i.e. a dereference/write through a stale or recycled-slot pointer. The path is reached unauthenticated by any remote host that pings the device (net_icmpv4_input - net_icmp_call_ipv4_handlers - icmpv4_handle_echo_request) and is gated on CONFIG_NET_STATISTICS_ICMP. Impact is a probabilistic read of recycled packet memory plus a possible wild-pointer write under a timing race, leading most likely to corrupted interface statistics or a remotely triggerable crash (DoS). The defect was introduced in 2019 (v1.14) and is present through v4.4.0. The companion change in net_icmpv4_send_error() is not a use-after-free because it reads net_pkt_iface(orig), the caller-owned received packet, which stays alive across the send. The fix caches the interface pointer from the live received packet before sending and uses it for the post-send stats updates.

