CVE-2026-10643
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W implementacji recvmsg() dla gniazd IP w systemie Zephyr (plik sockets_inet.c) stwierdzono podatność na przepełnienie bufora poza dozwolonym zakresem. Funkcja insert_pktinfo() nieprawidłowo waliduje rozmiar bufora kontrolnego (msg_control), pomijając rozmiar nagłówka cmsg, co umożliwia zapis danych poza przydzieloną pamięcią. Problem dotyczy wersji od 3.6.0 do 4.4.0.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zapisu poza zakresem bufora w pamięci jądra (w trybie użytkownika) lub w buforze wywołującego (w trybie nadzorcy), co może prowadzić do naruszenia integralności systemu, awarii lub potencjalnej eskalacji uprawnień.
Rekomendacja
Należy niezwłocznie zaktualizować system Zephyr do wersji zawierającej poprawkę (powyżej v4.4.0) lub zastosować łatkę, która dodaje prawidłową walidację rozmiaru bufora za pomocą makra NET_CMSG_SPACE().
Oryginalny opis (angielski, źródło NVD)
Zephyr's IP socket recvmsg() implementation (subsys/net/lib/sockets/sockets_inet.c, insert_pktinfo()) validated the user-supplied ancillary (msg_control) buffer using only the payload length (msg-msg_controllen < pktinfo_len) before writing a full control message consisting of an aligned cmsg header plus the payload. Because the check omitted the cmsg header size, a control buffer whose length falls in the under-checked window (e.g. 16-27 bytes for IPv4 IP_PKTINFO on a 64-bit target, where a single element actually occupies 28 bytes) passes the guard yet causes a fixed-size out-of-bounds write of up to one cmsg header (~12 bytes) past the end of the buffer. Under CONFIG_USERSPACE the recvmsg verifier allocates a kernel-heap copy of the control buffer sized to msg_controllen and runs the implementation against it, so the overflow corrupts kernel heap memory and is triggerable from an unprivileged userspace thread; in supervisor mode it corrupts the caller's buffer. The path is reachable on a UDP/IP socket with IP_PKTINFO/IPV6_RECVPKTINFO (or hoplimit/timestamping) enabled when the application calls recvmsg() with an undersized control buffer and a datagram is received; part of the overwritten bytes (the destination IP in ipi_addr) is influenced by the received packet. The fix makes the capacity check use NET_CMSG_SPACE(pktinfo_len) (aligned header + aligned data) and returns -ENOMEM when the buffer is too small. Affected: v3.6.0 through v4.4.0.

