Katalog CVE

CVE-2026-46011

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy funkcji mtk_jpeg_release(). Problem polega na tym, że kontekst (ctx) jest zwalniany bez wcześniejszego anulowania oczekujących lub działających zadań, co prowadzi do warunków wyścigu i potencjalnego dostępu do zwolnionej pamięci.

Ocena ryzyka

Organizacje mogą być narażone na ataki wykorzystujące tę podatność, co może prowadzić do nieautoryzowanego dostępu do pamięci i potencjalnych awarii systemu.

Rekomendacja

Zaleca się aktualizację jądra systemu Linux do wersji, która zawiera poprawkę tej podatności, oraz zapewnienie, że funkcja cancel_work_sync() jest wywoływana przed zablokowaniem mutexu.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: media: mtk-jpeg: fix use-after-free in release path due to uncancelled work The mtk_jpeg_release() function frees the context structure (ctx) without first cancelling any pending or running work in ctx->jpeg_work. This creates a race window where the workqueue callback may still be accessing the context memory after it has been freed. Race condition: CPU 0 (release) CPU 1 (workqueue) ---------------- ------------------ close() mtk_jpeg_release() mtk_jpegenc_worker() ctx = work->data // accessing ctx kfree(ctx) // freed! access ctx // UAF! The work is queued via queue_work() during JPEG encode/decode operations (via mtk_jpeg_device_run). If the device is closed while work is pending or running, the work handler will access freed memory. Fix this by calling cancel_work_sync() BEFORE acquiring the mutex. This ordering is critical: if cancel_work_sync() is called after mutex_lock(), and the work handler also tries to acquire the same mutex, it would cause a deadlock. Note: The open error path does NOT need cancel_work_sync() because INIT_WORK() only initializes the work structure - it does not schedule it. Work is only scheduled later during ioctl operations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS