Katalog CVE

CVE-2026-10649

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.44%

Percentyl 35 — wyżej niż 35% wszystkich znanych CVE

Streszczenie

W Pacemaker odkryto podatność polegającą na przepełnieniu liczby całkowitej w procesie dekompresji zdalnych wiadomości. Nieuwierzytelniony atakujący może wysłać specjalnie spreparowaną skompresowaną wiadomość przed uwierzytelnieniem, powodując uszkodzenie pamięci i odmowę usługi (DoS) w słuchaczu CIB. Skutkuje to awarią dotkniętego komponentu.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego przeprowadzenia ataku DoS bez konieczności uwierzytelnienia, co może zakłócić działanie usług zarządzania klastrem Pacemaker i wpłynąć na dostępność krytycznych systemów.

Rekomendacja

Zaleca się natychmiastową aktualizację Pacemaker do najnowszej wersji zawierającej poprawkę. Jeśli nie jest to możliwe, należy ograniczyć dostęp do portów używanych przez CIB remote listener tylko do zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Pacemaker. An unauthenticated remote attacker can exploit an integer overflow vulnerability in the remote message decompression process. By sending a specially crafted compressed remote message before authentication, an attacker can cause memory corruption, leading to a denial of service (DoS) in the CIB remote listener. This can result in the affected service crashing.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS