CVE-2026-34963 in Bareboxinformación

Resumen

por VulDB • 2026-05-12

La versión de barebox anterior a 2026.04.0 contiene múltiples vulnerabilidades de seguridad de memoria en el cargador EFI PE en efi/loader/pe.c, donde un desbordamiento de entero en el cálculo del tamaño de la imagen virtual, utilizando aritmética de 32 bits en los valores de VirtualAddress y tamaño de la sección, permite una asignación de heap insuficientemente grande, y la lógica de carga de secciones PE no valida que PointerToRawData más el tamaño copiado permanezca dentro del búfer del archivo PE. Un atacante puede proporcionar un binario EFI PE malicioso a través de TFTP, USB, tarjeta SD o arranque por red para provocar un desbordamiento de búfer en el heap o una lectura fuera de límites desde la memoria heap, lo que potencialmente podría lograr la ejecución de código en el contexto del bootloader.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-03-31

Divulgación

2026-05-12

Moderación

aceptado

Artículo

VDB-362793

CPE

listo

EPSS

0.00019

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34963
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34963
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34963/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!