CVE-2026-46022
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
W jądrze systemu Linux zidentyfikowano podatność, która pozwala na odczyt poza zakresem w funkcji ibmasm_handle_mouse_interrupt(). Problem występuje, gdy indeksy czytnika lub pisarza przekraczają dozwolony rozmiar kolejki, co może prowadzić do nieprzewidzianych odczytów z rejestrów urządzeń.
Ocena ryzyka
Zagrożenie to może prowadzić do awarii systemu lub nieautoryzowanego dostępu do pamięci, co stwarza ryzyko dla integralności i dostępności systemu.
Rekomendacja
Zaleca się aktualizację jądra systemu Linux do wersji, w której wprowadzono poprawki, aby zapewnić odpowiednie sprawdzenie zakresu indeksów przed ich użyciem.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: misc: ibmasm: fix OOB MMIO read in ibmasm_handle_mouse_interrupt() ibmasm_handle_mouse_interrupt() performs an out-of-bounds MMIO read when the queue reader or writer index from hardware exceeds REMOTE_QUEUE_SIZE (60). A compromised service processor can trigger this by writing an out-of-range value to the reader or writer MMIO register before asserting an interrupt. Since writer is re-read from hardware on every loop iteration, it can also be set to an out-of-range value after the loop has already started. The root cause is that get_queue_reader() and get_queue_writer() return raw readl() values that are passed directly into get_queue_entry(), which computes: queue_begin + reader * sizeof(struct remote_input) with no bounds check. This unchecked MMIO address is then passed to memcpy_fromio(), reading 8 bytes from unintended device registers. For sufficiently large values the address falls outside the PCI BAR mapping entirely, triggering a machine check exception. Fix by checking both indices against REMOTE_QUEUE_SIZE at the top of the loop body, before any call to get_queue_entry(). On an out-of-range value, reset the reader register to 0 via set_queue_reader() before breaking, so that normal queue operation can resume if the corrupted hardware state is transient.

