CVE-2026-10649
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W Pacemaker odkryto podatność polegającą na przepełnieniu liczby całkowitej w procesie dekompresji zdalnych wiadomości. Nieuwierzytelniony atakujący może wysłać specjalnie spreparowaną skompresowaną wiadomość przed uwierzytelnieniem, powodując uszkodzenie pamięci i odmowę usługi (DoS) w słuchaczu CIB. Skutkuje to awarią dotkniętego komponentu.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego przeprowadzenia ataku DoS bez konieczności uwierzytelnienia, co może zakłócić działanie usług zarządzania klastrem Pacemaker i wpłynąć na dostępność krytycznych systemów.
Rekomendacja
Zaleca się natychmiastową aktualizację Pacemaker do najnowszej wersji zawierającej poprawkę. Jeśli nie jest to możliwe, należy ograniczyć dostęp do portów używanych przez CIB remote listener tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Pacemaker. An unauthenticated remote attacker can exploit an integer overflow vulnerability in the remote message decompression process. By sending a specially crafted compressed remote message before authentication, an attacker can cause memory corruption, leading to a denial of service (DoS) in the CIB remote listener. This can result in the affected service crashing.

