CVE-2026-43024
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W jądrze Linux stwierdzono podatność w podsystemie netfilter nf_tables, polegającą na możliwości natychmiastowego wydania werdyktu NF_QUEUE. Taki werdykt nie jest używany przez narzędzia użytkownika nftables, a w rodzinie ARP brakuje obsługi kolejkowania, co może prowadzić do nieoczekiwanego zachowania.
Ocena ryzyka
Ryzyko polega na potencjalnym zakłóceniu działania filtrowania pakietów w rodzinie ARP, co może umożliwić atakującemu ominięcie reguł lub spowodować awarię systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę odrzucającą natychmiastowe werdykty NF_QUEUE w nf_tables.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: reject immediate NF_QUEUE verdict nft_queue is always used from userspace nftables to deliver the NF_QUEUE verdict. Immediately emitting an NF_QUEUE verdict is never used by the userspace nft tools, so reject immediate NF_QUEUE verdicts. The arp family does not provide queue support, but such an immediate verdict is still reachable. Globally reject NF_QUEUE immediate verdicts to address this issue.

