CVE-2026-53235
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność w funkcji skb_gro_receive_list(), która wywołuje skb_pull() bez uprzedniego sprawdzenia, czy dane znajdują się w obszarze liniowym (pskb_may_pull()). W przypadku pakietów przychodzących przez napi_gro_frags() może to prowadzić do naruszenia asercji BUG_ON(skb->len < skb->data_len) i awarii systemu. Problem został załatany przez dodanie wywołania pskb_may_pull() oraz ustawienie flagi flush w przypadku błędu.
Ocena ryzyka
Atakujący może wysłać specjalnie spreparowane pakiety sieciowe, które wykorzystując tę podatność, spowodują awarię systemu (kernel panic) i przerwanie działania usług na serwerze.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit dodający pskb_may_pull() w skb_gro_receive_list()).
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: net: add pskb_may_pull() to skb_gro_receive_list() skb_gro_receive_list() calls skb_pull(skb, skb_gro_offset(skb)) without first ensuring the data is in the linear area via pskb_may_pull(). When the skb arrives via napi_gro_frags(), skb_headlen can be 0 (all data in page fragments) while skb_gro_offset is non-zero (after IP+TCP header parsing). The skb_pull() then decrements skb->len by skb_gro_offset but skb->data_len stays unchanged, hitting BUG_ON(skb->len < skb->data_len) in __skb_pull(). The UDP fraglist GRO path already contains this guard at udp_offload.c:749. Adding it to skb_gro_receive_list() itself provides centralized protection for all callers (TCP, UDP, and any future protocols), and ensures the precondition of skb_pull() is satisfied before it is called. On pskb_may_pull() failure, set NAPI_GRO_CB(skb)->flush = 1 so the skb is not held as a new GRO head and is instead delivered through the normal receive path, matching the UDP handling.

