Katalog CVE

CVE-2026-25139

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

RIOT to otwartoźródłowy system operacyjny dla mikrokontrolerów, zaprojektowany z myślą o urządzeniach IoT i innych urządzeniach wbudowanych. W wersji 2025.10 i wcześniejszych, występuje wiele przypadków odczytu poza zakresem, które pozwalają nieautoryzowanym użytkownikom na odczytanie sąsiednich lokalizacji pamięci lub awarię podatnego urządzenia działającego na stosie 6LoWPAN.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do pamięci urządzeń, co może prowadzić do wycieku danych lub awarii systemu. Brak znanych poprawek zwiększa zagrożenie dla bezpieczeństwa urządzeń korzystających z tego systemu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji RIOT, gdy tylko zostanie wydana poprawka. W międzyczasie, należy ograniczyć dostęp do urządzeń oraz monitorować ruch sieciowy w celu wykrycia potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

RIOT is an open-source microcontroller operating system, designed to match the requirements of Internet of Things (IoT) devices and other embedded devices. In version 2025.10 and prior, multiple out-of-bounds read allow any unauthenticated user, with ability to send or manipulate input packets, to read adjacent memory locations, or crash a vulnerable device running the 6LoWPAN stack. The received packet is cast into a sixlowpan_sfr_rfrag_t struct and dereferenced without validating the packet is large enough to contain the struct object. At time of publication, no known patch exists.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS