Katalog CVE

Aktywnie wykorzystywana w atakach

Linux Kernel Incorrect Resource Transfer Between Spheres Vulnerability

Linux — Kernel · Figuruje w katalogu CISA KEV od 2026-05-01. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: "Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2026-31431

WysokieCVSS 7.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
96.78%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

W jądrze Linuxa wycofano optymalizację operacji w miejscu (in-place) w algorytmie szyfrowania AEAD przez gniazda AF_ALG. Przywrócono działanie poza miejscem (out-of-place), ponieważ źródło i cel pochodzą z różnych mapowań pamięci, co czyniło optymalizację niekorzystną. Usunięto złożoność dodaną dla operacji w miejscu, kopiując dane skojarzone bezpośrednio.

Ocena ryzyka

Podatność może prowadzić do nieprawidłowego działania szyfrowania AEAD w interfejsie AF_ALG, potencjalnie powodując błędy w przetwarzaniu danych lub wycieki informacji. Organizacje używające jądra Linux z tą funkcjonalnością są narażone na niestabilność lub naruszenie poufności.

Rekomendacja

Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę (commit revert). Należy monitorować dystrybucje pod kątem wydania łatki i zastosować ją w systemach produkcyjnych.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS