Katalog CVE

CVE-2026-46307

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W sterowniku ath5k dla kart Wi-Fi w jądrze Linux wykryto podatność polegającą na odczycie/wpisie poza zakresem tablicy (OOB). Problem występuje w funkcji ath5k_tasklet_tx, gdzie indeks ts->ts_final_idx może przyjąć wartość 3, a następnie używany jest do dostępu do elementu rates[ts->ts_final_idx + 1], co prowadzi do zapisu poza tablicą rates o rozmiarze 4. Skutkiem jest nadpisanie sąsiedniego pola struktury (ack_signal), choć wpływ na działanie jest znikomy.

Ocena ryzyka

Podatność może prowadzić do niestabilności systemu lub nieprzewidzianego zachowania sterownika, jednak ryzyko jest niskie ze względu na ograniczony zakres nadpisywanych danych (tylko sąsiednie pole struktury).

Rekomendacja

Zaleca się aktualizację jądra Linux do wersji zawierającej poprawkę, która dodaje warunek sprawdzający, czy indeks tablicy jest mniejszy od jej rozmiaru przed wykonaniem zapisu.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: wifi: ath5k: do not access array OOB Vincent reports: > The ath5k driver seems to do an array-index-out-of-bounds access as > shown by the UBSAN kernel message: > UBSAN: array-index-out-of-bounds in drivers/net/wireless/ath/ath5k/base.c:1741:20 > index 4 is out of range for type 'ieee80211_tx_rate [4]' > ... > Call Trace: > <TASK> > dump_stack_lvl+0x5d/0x80 > ubsan_epilogue+0x5/0x2b > __ubsan_handle_out_of_bounds.cold+0x46/0x4b > ath5k_tasklet_tx+0x4e0/0x560 [ath5k] > tasklet_action_common+0xb5/0x1c0 It is real. 'ts->ts_final_idx' can be 3 on 5212, so: info->status.rates[ts->ts_final_idx + 1].idx = -1; with the array defined as: struct ieee80211_tx_rate rates[IEEE80211_TX_MAX_RATES]; while the size is: #define IEEE80211_TX_MAX_RATES 4 is indeed bogus. Set this 'idx = -1' sentinel only if the array index is less than the array size. As mac80211 will not look at rates beyond the size (IEEE80211_TX_MAX_RATES). Note: The effect of the OOB write is negligible. It just overwrites the next member of info->status, i.e. ack_signal.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS