CVE-2026-46284
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność powodującą awarię systemu podczas wczesnego rozruchu, gdy parametry wiersza poleceń jądra (hugepages, hugepagesz, default_hugepagesz) są podane bez separatora '='. Funkcja hugetlb_add_param() wywołuje strlen() na wartości NULL, co prowadzi do dereferencji wskaźnika i crasha.
Ocena ryzyka
Ryzyko polega na możliwości celowego lub przypadkowego wywołania awarii systemu podczas rozruchu poprzez podanie nieprawidłowych parametrów wiersza poleceń jądra, co może uniemożliwić uruchomienie systemu i wymagać interwencji administratora.
Rekomendacja
Należy natychmiast zaktualizować jądro Linux do wersji zawierającej poprawkę, która odrzuca wartości NULL w hugetlb_add_param() i zwraca -EINVAL zamiast powodować crash.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: mm/hugetlb: fix early boot crash on parameters without '=' separator If hugepages, hugepagesz, or default_hugepagesz are specified on the kernel command line without the '=' separator, early parameter parsing passes NULL to hugetlb_add_param(), which dereferences it in strlen() and can crash the system during early boot. Reject NULL values in hugetlb_add_param() and return -EINVAL instead.

