Katalog CVE

CVE-2026-31617

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

W jądrze Linux w sterowniku USB f_ncm (funkcja sieciowa CDC NCM) wykryto podatność polegającą na braku walidacji minimalnej długości bloku (block_len) w funkcji ncm_unwrap_ntb(). Gdy block_len jest mniejszy niż rozmiar NDP, operacje arytmetyczne na indeksach powodują niedomiar (underflow), co umożliwia złośliwemu hostowi USB ominięcie kontroli granic i skopiowanie danych z pamięci jądra do sieciowego bufora skb.

Ocena ryzyka

Atakujący z dostępem fizycznym do portu USB (lub zdalnie przez emulację urządzenia USB) może wykorzystać tę podatność do odczytu wrażliwych danych z pamięci jądra lub potencjalnie do eskalacji uprawnień, co stanowi poważne ryzyko dla poufności i integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit usuwający podatność). Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz obsługę funkcji CDC NCM w konfiguracji USB gadget lub ogranicz fizyczny dostęp do portów USB.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: usb: gadget: f_ncm: validate minimum block_len in ncm_unwrap_ntb() The block_len read from the host-supplied NTB header is checked against ntb_max but has no lower bound. When block_len is smaller than opts->ndp_size, the bounds check of: ndp_index > (block_len - opts->ndp_size) will underflow producing a huge unsigned value that ndp_index can never exceed, defeating the check entirely. The same underflow occurs in the datagram index checks against block_len - opts->dpe_size. With those checks neutered, a malicious USB host can choose ndp_index and datagram offsets that point past the actual transfer, and the skb_put_data() copies adjacent kernel memory into the network skb. Fix this by rejecting block lengths that cannot hold at least the NTB header plus one NDP. This will make block_len - opts->ndp_size and block_len - opts->dpe_size both well-defined. Commit 8d2b1a1ec9f5 ("CDC-NCM: avoid overflow in sanity checking") fixed a related class of issues on the host side of NCM.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS