CVE-2026-6654
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
W crate'ie thin_vec wykryto podatność typu double-free i use-after-free w funkcjach `IntoIter::drop` oraz `ThinVec::clear`. Panika w `ptr::drop_in_place` powoduje pominięcie wyzerowania długości wektora.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu lub wywołania awarii systemu, co prowadzi do naruszenia integralności i dostępności danych.
Rekomendacja
Należy natychmiast zaktualizować crate thin_vec do najnowszej wersji, która zawiera poprawkę eliminującą podwójne zwolnienie pamięci i użycie po zwolnieniu.
Oryginalny opis (angielski, źródło NVD)
Double-Free / Use-After-Free (UAF) in the `IntoIter::drop` and `ThinVec::clear` functions in the thin_vec crate. A panic in `ptr::drop_in_place` skips setting the length to zero.

