CVE-2026-45890 in Linuxinfo

Zusammenfassung

von VulDB • 27.05.2026

Im Linux-Kernel wurde folgende Schwachstelle behoben:

xen-netback: Zurückweisen einer Konfiguration mit Null-Queues vom Gast

Ein bösartiger oder fehlerhafter Xen-Gast kann „0“ in den xenbus-Schlüssel „multi-queue-num-queues“ schreiben. Die connect()-Funktion im Backend validiert nur die Obergrenze (requested_num_queues > xenvif_max_queues), nicht jedoch den Wert Null. Dadurch kann requested_num_queues=0 an vzalloc(array_size(0, sizeof(struct xenvif_queue))) gelangen, was WARN_ON_ONCE(!size) in __vmalloc_node_range() auslöst.

Auf Systemen mit panic_on_warn=1 ermöglicht dies einen Denial-of-Service-Angriff vom Gast auf den Host.

Die Xen-Netzwerkschnittstellen-Spezifikation verlangt, dass die Queue-Anzahl „größer als Null“ ist.

Eine Null-Prüfung wurde hinzugefügt, um die bereits in xen-blkback vorhandene Validierung zu übernehmen, die diesen Schutz seit der Einführung der Multi-Queue-Unterstützung enthält.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Linux

Reservieren

13.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366065

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

low

Sektor

Lawfirm, Insurance, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45890
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45890
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45890/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!