CVE-2026-31651
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W jądrze Linux w sterowniku vub300 dla kart MMC/SD przez USB wykryto podatność polegającą na wyłuskaniu wskaźnika NULL (NULL-deref) podczas odłączania urządzenia. Problem wynika z braku wyrejestrowania kontrolera przed zwolnieniem danych sterownika, co może prowadzić do awarii systemu.
Ocena ryzyka
Ryzyko polega na możliwości wywołania błędu jądra (kernel panic) lub użycia po zwolnieniu pamięci (use-after-free) podczas odłączania podłączonego przez USB czytnika kart MMC/SD, co może skutkować niestabilnością systemu lub potencjalną eskalacją uprawnień.
Rekomendacja
Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę (commit rejestrujący kontroler przed zwolnieniem danych). Należy monitorować oficjalne biuletyny bezpieczeństwa dystrybucji Linux i zastosować łatkę po jej udostępnieniu.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: mmc: vub300: fix NULL-deref on disconnect Make sure to deregister the controller before dropping the reference to the driver data on disconnect to avoid NULL-pointer dereferences or use-after-free.

