Linux Kernel bis 6.19-rc1 net vlan_del_fail_bmap Information Disclosure

| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
In Linux Kernel bis 6.1.159/6.6.119/6.12.63/6.18.2/6.19-rc1 wurde eine kritische Schwachstelle entdeckt. Betroffen ist die Funktion vlan_del_fail_bmap der Komponente net. Durch das Manipulieren mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2025-71112. Es gibt keinen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine problematische Schwachstelle in Linux Kernel bis 6.1.159/6.6.119/6.12.63/6.18.2/6.19-rc1 ausgemacht. Dabei betrifft es die Funktion vlan_del_fail_bmap der Komponente net. Dank der Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-125 vorgenommen. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
In the Linux kernel, the following vulnerability has been resolved:
net: hns3: add VLAN id validation before using
Currently, the VLAN id may be used without validation when
receive a VLAN configuration mailbox from VF. The length of
vlan_del_fail_bmap is BITS_TO_LONGS(VLAN_N_VID). It may cause
out-of-bounds memory access once the VLAN id is bigger than
or equal to VLAN_N_VID.
Therefore, VLAN id needs to be checked to ensure it is within
the range of VLAN_N_VID.Das Advisory kann von git.kernel.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 13.01.2026 unter CVE-2025-71112 geführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 298928 (SUSE SLES15 : Recommended update for initial livepatch (SUSE-SU-2026:0474-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 6.1.160, 6.6.120, 6.12.64, 6.18.3 oder 6.19-rc2 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 00e56a7706e10b3d00a258d81fcb85a7e96372d6/b7b4f3bf118f51b67691a55b464f04452e5dc6fc/95cca255a7a5ad782639ff0298c2a486707d1046/91a51d01be5c9f82c12c2921ca5cceaa31b67128/6ef935e65902bfed53980ad2754b06a284ea8ac1 beheben. Dieser kann von git.kernel.org bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (298928) und CERT Bund (WID-SEC-2026-0119) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Debian Linux
- Amazon Linux 2
- SUSE Linux
- Oracle Linux
- SUSE openSUSE
- Open Source Linux Kernel
Produkt
Typ
Hersteller
Name
Version
- 6.1.159
- 6.6.119
- 6.12.0
- 6.12.1
- 6.12.2
- 6.12.3
- 6.12.4
- 6.12.5
- 6.12.6
- 6.12.7
- 6.12.8
- 6.12.9
- 6.12.10
- 6.12.11
- 6.12.12
- 6.12.13
- 6.12.14
- 6.12.15
- 6.12.16
- 6.12.17
- 6.12.18
- 6.12.19
- 6.12.20
- 6.12.21
- 6.12.22
- 6.12.23
- 6.12.24
- 6.12.25
- 6.12.26
- 6.12.27
- 6.12.28
- 6.12.29
- 6.12.30
- 6.12.31
- 6.12.32
- 6.12.33
- 6.12.34
- 6.12.35
- 6.12.36
- 6.12.37
- 6.12.38
- 6.12.39
- 6.12.40
- 6.12.41
- 6.12.42
- 6.12.43
- 6.12.44
- 6.12.45
- 6.12.46
- 6.12.47
- 6.12.48
- 6.12.49
- 6.12.50
- 6.12.51
- 6.12.52
- 6.12.53
- 6.12.54
- 6.12.55
- 6.12.56
- 6.12.57
- 6.12.58
- 6.12.59
- 6.12.60
- 6.12.61
- 6.12.62
- 6.12.63
- 6.18.0
- 6.18.1
- 6.18.2
- 6.19-rc1
Lizenz
Webseite
- Hersteller: https://www.kernel.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.2
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.1
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-125 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 298928
Nessus Name: SUSE SLES15 : Recommended update for initial livepatch (SUSE-SU-2026:0474-1)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Kernel 6.1.160/6.6.120/6.12.64/6.18.3/6.19-rc2
Patch: 00e56a7706e10b3d00a258d81fcb85a7e96372d6/b7b4f3bf118f51b67691a55b464f04452e5dc6fc/95cca255a7a5ad782639ff0298c2a486707d1046/91a51d01be5c9f82c12c2921ca5cceaa31b67128/6ef935e65902bfed53980ad2754b06a284ea8ac1
Timeline
13.01.2026 CVE zugewiesen14.01.2026 Advisory veröffentlicht
14.01.2026 VulDB Eintrag erstellt
16.07.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: kernel.orgAdvisory: git.kernel.org
Status: Bestätigt
CVE: CVE-2025-71112 (🔒)
GCVE (CVE): GCVE-0-2025-71112
GCVE (VulDB): GCVE-100-341088
CERT Bund: WID-SEC-2026-0119 - Linux Kernel: Mehrere Schwachstellen
Eintrag
Erstellt: 14.01.2026 17:47Aktualisierung: 16.07.2026 04:54
Anpassungen: 14.01.2026 17:47 (59), 16.01.2026 03:15 (7), 13.02.2026 19:36 (2), 09.03.2026 05:29 (1), 25.03.2026 21:51 (11), 16.07.2026 04:54 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.