CVE-2026-14606
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W bibliotece RT-Thread do wersji 5.0.2 wykryto podatność w funkcji CAN_Receive w pliku SWM341.h komponentu SWM341 CAN Handler. Lokalny atakujący może wywołać przepełnienie bufora na stosie poprzez manipulację danymi. Publicznie dostępny exploit umożliwia przeprowadzenie ataku.
Ocena ryzyka
Organizacja narażona jest na lokalne przejęcie kontroli nad systemem lub jego destabilizację poprzez przepełnienie bufora stosu w sterowniku CAN. Atak wymaga dostępu lokalnego, ale publiczny exploit zwiększa ryzyko wykorzystania.
Rekomendacja
Należy natychmiast zaktualizować RT-Thread do wersji powyżej 5.0.2, jeśli dostępna, lub zastosować łatkę od producenta. W przypadku braku aktualizacji ograniczyć dostęp lokalny do systemu i monitorować nietypową aktywność.
Oryginalny opis (angielski, źródło NVD)
A security flaw has been discovered in RT-Thread up to 5.0.2. Affected by this issue is the function CAN_Receive in the library bsp/synwit/libraries/SWM341_CSL/CMSIS/DeviceSupport/SWM341.h of the component SWM341 CAN Handler. Performing a manipulation results in stack-based buffer overflow. The attack needs to be approached locally. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.

