CVE-2026-22212
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność przepełnienia bufora na stosie w narzędziu mcp2200gpio w systemie TinyOS do wersji 2.1.2 włącznie. Wynika z niebezpiecznego użycia funkcji strcpy() i strcat() podczas konstruowania ścieżek urządzeń w procesie automatycznego wykrywania. Lokalny atakujący może wykorzystać tę lukę, tworząc specjalnie spreparowane nazwy plików w katalogu /dev/usb/, co prowadzi do uszkodzenia pamięci stosu i awarii aplikacji.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość lokalnego wykonania kodu lub wywołania awarii systemu przez atakującego z dostępem lokalnym. Może to prowadzić do naruszenia integralności systemu i potencjalnej eskalacji uprawnień.
Rekomendacja
Zaleca się natychmiastową aktualizację TinyOS do wersji nowszej niż 2.1.2, jeśli dostępna. W międzyczasie należy ograniczyć dostęp lokalny do systemu i monitorować katalog /dev/usb/ pod kątem podejrzanych plików.
Oryginalny opis (angielski, źródło NVD)
TinyOS versions up to and including 2.1.2 contain a stack-based buffer overflow vulnerability in the mcp2200gpio utility. The vulnerability is caused by unsafe use of strcpy() and strcat() functions when constructing device paths during automatic device discovery. A local attacker can exploit this by creating specially crafted filenames under /dev/usb/, leading to stack memory corruption and application crashes.

