CVE-2026-10664 in zephyrinformazioni

Riassunto

di VulDB • 12/07/2026

Il gestore degli eventi di risparmio energetico del driver Wi-Fi nRF70, `nrf_wifi_event_proc_get_power_save_info()` in `drivers/wifi/nrf_wifi/src/wifi_mgmt.c`, copia le voci del flusso TWT (Target Wake Time) da un evento `nrf_wifi_umac_event_power_save_info` nell'array di dimensione fissa `twt_flows[WIFI_MAX_TWT_FLOWS]` (8 elementi) della struct `wifi_ps_config` fornita dal chiamante, iterando su `num_twt_flows` fornito dall'evento senza convalidarlo rispetto a `WIFI_MAX_TWT_FLOWS` né verificare `event_len`. Quando `num_twt_flows` supera 8, il gestore scrive oltre l'array di destinazione (che si trova tipicamente nello stack del chiamante, ad esempio nel comando shell wifi ps) -- una scrittura fuori dai limiti (~40 byte per voce TWT) -- e legge `twt_flow_info[i]` oltre il buffer dell'evento. L'evento è consegnato dal firmware del co-processore nRF70 in risposta a un GET di risparmio energetico avviato dall'host; raggiungere l'overflow richiede quindi che il firmware generi un evento malformato o con valori fuori intervallo. Il confine di fiducia è host-to-trusted-coprocessor piuttosto che una scrittura remota diretta da parte dell'AP, con un'influenza over-the-air sul conteggio dei flussi indiretta e limitata dallo spazio degli ID flusso TWT a 3 bit. Colpite: le build con `CONFIG_NRF70_STA_MODE` nelle versioni fino alla v4.4.0. La correzione rifiuta gli eventi con `num_twt_flows > WIFI_MAX_TWT_FLOWS` o con `event_len` inferiore alle voci dichiarate, e aggiunge un controllo NULL sul buffer del chiamante.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Zephyr

Prenotare

02/06/2026

Divulgazione

12/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!