CVE-2026-6687
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
W bibliotece FatFs w wersji R0.16 i wcześniejszych występuje przepełnienie bufora stosu w funkcji f_getlabel(). Błąd wynika z zaufania długości etykiety exFAT (XDIR_NumLabel) bez wymuszania maksymalnych wartości specyfikacji.
Ocena ryzyka
Atakujący z fizycznym dostępem może wykorzystać tę podatność do zdalnego wykonania kodu lub spowodowania odmowy usługi, co może prowadzić do całkowitej kompromitacji systemu.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę FatFs do wersji nowszej niż R0.16, która zawiera poprawkę dla tego błędu. Jeśli aktualizacja nie jest możliwa, należy ograniczyć fizyczny dostęp do systemów korzystających z tej biblioteki.
Oryginalny opis (angielski, źródło NVD)
FatFs R0.16 and earlier contains a stack overflow bug in f_getlabel() because exFAT label length (XDIR_NumLabel) is trusted without enforcing spec maximums. This maps to CWE-121 (Stack-based Buffer Overflow). Estimated CVSS v3.1 vector: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (7.6, High). The estimated CISA SSVC vectors are Exploitation: PoC, Technical Impact: Total.

