Katalog CVE

CVE-2026-50260

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

W serwerze X.Org X oraz Xwayland w funkcji FreeCounter() wykryto podatność use-after-free. Klient ustawiający wiele liczników SyncCounter i oczekujący na ich wyzwolenie może spowodować użycie po zwolnieniu podczas niszczenia tych liczników przez drugie połączenie klienckie.

Ocena ryzyka

Podatność może prowadzić do awarii serwera X lub eskalacji uprawnień, jeśli serwer X działa jako root, co stanowi poważne ryzyko dla stabilności i bezpieczeństwa systemu.

Rekomendacja

Należy niezwłocznie zaktualizować pakiety X.Org X server i Xwayland do wersji zawierającej poprawkę. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do serwera X tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A use-after-free flaw was found in the X.Org X server and Xwayland in FreeCounter(). A client that sets up multiple SyncCounters and awaits on those triggers can trigger a use-after-free when destroying those counters via a second client connection. This may be used to crash the server, or for privilege escalation if the X server runs as root.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS