CVE-2026-41144 in Fprimeالمعلومات

الملخص

بحسب VulDB • 12/05/2026

يُعد F´ (F Prime) إطار عمل يتيح تطوير ونشر تطبيقات البرمجيات المضمنة الخاصة بعمليات الفضاء وغيرها. قبل الإصدار 4.2.0، كانت عملية التحقق من الحدود `byteOffset + dataSize > fileSize` تستخدم عملية جمع U32 التي تقوم بالتفاف (wrap around) عند حدوث تجاوز للسعة (overflow). يمكن لمهاجم بإنشاء حزمة بيانات (DataPacket) ذات قيم `byteOffset=0xFFFFFF9C` و `dataSize=100` لتتجاوز القيمة إلى 0، مما يتجاوز التحقق تماماً. بعد ذلك، تتم عملية الكتابة على الملف عند الإزاحة الأصلية (~4 جيجابايت). بالإضافة إلى ذلك، لا يقوم الكود في `Svc/FileUplink/File.cpp:20-31` بإجراء أي تنقية (sanitization) لمسار الملف الوجهوي. مجتمعة، تتيح هذه الثغرات كتابة بيانات عشوائية في أي ملف وفي أي إزاحة. تتمثل الأثر في كتابة ملفات عشوائية تؤدي إلى تنفيذ كود عن بُعد (RCE) على الأجهزة المستهدفة المضمنة. تجدر الإشارة إلى أن هذه ثغرة منطقية (logic bug). لا يكشف ASAN عنها لأن جميع عمليات الوصول إلى الذاكرة تحدث ضمن مخازن صالحة — حيث يحدث التلف في عمليات إدخال/إخراج الملفات. يحتوي الإصدار 4.2.0 على تصحيح للثغرة. لا تتوفر حلول بديلة معروفة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

17/04/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358613

CPE

جاهز

CWE

CWE-190 (مؤكد)

CVSS

9.8 (NVD)

EPSS

0.00162

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41144
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41144
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41144/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!