CVE-2026-53303
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W jądrze Linux w systemie plików F2FS odkryto podatność polegającą na braku synchronizacji dostępu do listy rozszerzeń plików. Funkcja f2fs_sbi_show() odczytuje listę rozszerzeń, licznik rozszerzeń i licznik gorących rozszerzeń bez trzymania blokady sb_lock, co przy jednoczesnej modyfikacji listy przez sysfs może prowadzić do odczytu niespójnych danych, a w konsekwencji do dostępu poza zakres pamięci lub wyświetlania nieaktualnych informacji.
Ocena ryzyka
Ryzyko polega na możliwym naruszeniu integralności danych systemu plików F2FS oraz potencjalnym wystąpieniu błędu typu out-of-bounds, co może prowadzić do awarii systemu lub nieprzewidywalnego zachowania jądra.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę, która zabezpiecza odczyt listy rozszerzeń blokadą sb_lock w funkcji f2fs_sbi_show().
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: f2fs: protect extension_list reading with sb_lock in f2fs_sbi_show() In f2fs_sbi_show(), the extension_list, extension_count and hot_ext_count are read without holding sbi->sb_lock. If a concurrent sysfs store modifies the extension list via f2fs_update_extension_list(), the show path may read inconsistent count and array contents, potentially leading to out-of-bounds access or displaying stale data. Fix this by holding sb_lock around the entire extension list read and format operation.

