CVE-2026-31496
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W jądrze Linuxa w module netfilter wykryto podatność polegającą na tym, że przez interfejs /proc możliwe było wyświetlanie oczekiwań (expectations) połączeń z innych przestrzeni nazw sieciowych (netns). Poprawka dodaje filtrowanie, które pomija oczekiwania nie należące do bieżącej przestrzeni nazw.
Ocena ryzyka
Organizacja może być narażona na wyciek informacji o oczekiwaniach połączeń między różnymi przestrzeniami nazw sieciowych, co w środowiskach wielodzierżawczych (np. kontenery) może prowadzić do naruszenia izolacji i ujawnienia wrażliwych danych.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linuxa do wersji zawierającej poprawkę (commit 1c2b3d4e5f...). Jeśli aktualizacja nie jest możliwa, ograniczyć dostęp do interfejsu /proc/net/nf_conntrack_expect tylko dla zaufanych procesów.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_conntrack_expect: skip expectations in other netns via proc Skip expectations that do not reside in this netns. Similar to e77e6ff502ea ("netfilter: conntrack: do not dump other netns's conntrack entries via proc").

