Katalog CVE

CVE-2026-45923

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

W jądrze systemu Linux zidentyfikowano podatność w module USB catc, polegającą na braku weryfikacji opisów punktów końcowych. W wyniku tego, źle skonfigurowane urządzenia USB mogą wprowadzać nieprawidłowe typy transferów, co może prowadzić do nieprzewidzianych zachowań.

Ocena ryzyka

Organizacje mogą być narażone na ataki z wykorzystaniem wadliwych urządzeń USB, co może prowadzić do nieautoryzowanego dostępu lub destabilizacji systemu. W szczególności, urządzenia z nieprawidłowymi descriptorami mogą powodować problemy z komunikacją.

Rekomendacja

Zaleca się aktualizację jądra systemu Linux do wersji, która zawiera poprawki dla tej podatności. Należy również monitorować podłączane urządzenia USB i weryfikować ich zgodność z wymaganiami systemowymi.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: net: usb: catc: enable basic endpoint checking catc_probe() fills three URBs with hardcoded endpoint pipes without verifying the endpoint descriptors: - usb_sndbulkpipe(usbdev, 1) and usb_rcvbulkpipe(usbdev, 1) for TX/RX - usb_rcvintpipe(usbdev, 2) for interrupt status A malformed USB device can present these endpoints with transfer types that differ from what the driver assumes. Add a catc_usb_ep enum for endpoint numbers, replacing magic constants throughout. Add usb_check_bulk_endpoints() and usb_check_int_endpoints() calls after usb_set_interface() to verify endpoint types before use, rejecting devices with mismatched descriptors at probe time. Similar to - commit 90b7f2961798 ("net: usb: rtl8150: enable basic endpoint checking") which fixed the issue in rtl8150.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS