CVE-2026-23475
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W jądrze Linux stwierdzono podatność w alokacji statystyk dla kontrolera SPI. Statystyki per-CPU nie były alokowane przed rejestracją kontrolera, co umożliwiało wywołanie dereferencji wskaźnika NULL podczas dostępu do atrybutów sysfs.
Ocena ryzyka
Atakujący z lokalnym dostępem do systemu może wykorzystać tę lukę do wywołania błędu jądra (kernel panic) lub potencjalnie eskalacji uprawnień poprzez celowe odczytanie atrybutów sysfs w oknie podatności.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit przenoszący alokację statystyk do momentu alokacji kontrolera).
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: spi: fix statistics allocation The controller per-cpu statistics is not allocated until after the controller has been registered with driver core, which leaves a window where accessing the sysfs attributes can trigger a NULL-pointer dereference. Fix this by moving the statistics allocation to controller allocation while tying its lifetime to that of the controller (rather than using implicit devres).

