Katalog CVE

CVE-2026-22212

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność przepełnienia bufora na stosie w narzędziu mcp2200gpio w systemie TinyOS do wersji 2.1.2 włącznie. Wynika z niebezpiecznego użycia funkcji strcpy() i strcat() podczas konstruowania ścieżek urządzeń w procesie automatycznego wykrywania. Lokalny atakujący może wykorzystać tę lukę, tworząc specjalnie spreparowane nazwy plików w katalogu /dev/usb/, co prowadzi do uszkodzenia pamięci stosu i awarii aplikacji.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość lokalnego wykonania kodu lub wywołania awarii systemu przez atakującego z dostępem lokalnym. Może to prowadzić do naruszenia integralności systemu i potencjalnej eskalacji uprawnień.

Rekomendacja

Zaleca się natychmiastową aktualizację TinyOS do wersji nowszej niż 2.1.2, jeśli dostępna. W międzyczasie należy ograniczyć dostęp lokalny do systemu i monitorować katalog /dev/usb/ pod kątem podejrzanych plików.

Oryginalny opis (angielski, źródło NVD)

TinyOS versions up to and including 2.1.2 contain a stack-based buffer overflow vulnerability in the mcp2200gpio utility. The vulnerability is caused by unsafe use of strcpy() and strcat() functions when constructing device paths during automatic device discovery. A local attacker can exploit this by creating specially crafted filenames under /dev/usb/, leading to stack memory corruption and application crashes.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS