CVE-2026-10664 in zephyr
要約
〜によって VulDB • 2026年07月13日
nRF70 Wi-Fi ドライバーの `drivers/wifi/nrf_wifi/src/wifi_mgmt.c` にある電源セーブイベントハンドラー `nrf_wifi_event_proc_get_power_save_info()` は、`nrf_wifi_umac_event_power_save_info` イベントから TWT(Target Wake Time)フローエントリをコピーする際、呼び出し元が提供する構造体 `wifi_ps_config` の固定サイズ配列 `twt_flows[WIFI_MAX_TWT_FLOWS]`(8要素)に対して、イベントで提供される `num_twt_flows` を `WIFI_MAX_TWT_FLOWS` で検証したり `event_len` を確認したりすることなくループ処理を行います。`num_twt_flows` が 8 より大きい場合、ハンドラーは宛先配列の境界外に書き込み(通常は呼び出し元のスタック上にあるため、例えば wifi ps シェルコマンドなど)、約40バイトの TWT エントリに対するアウトオブバウンズライトが発生し、さらにイベントバッファー外の `twt_flow_info[i]` を読み取ります。このイベントはホストが開始した電源セーブ GET に対して nRF70 コプロセッサーファームウェアによって配信されるため、オーバーフローを引き起こすにはファームウェアから不正または範囲外のエントリが発行される必要があります。信頼境界は直接のリモート AP からの書き込みではなく「ホストから信頼されたコプロセッサ」間であり、通信路を介したフローカウントへの影響は間接的かつ3ビットの TWT フロー ID スペースによって制限されます。対象:`CONFIG_NRF70_STA_MODE` が有効なビルドで、v4.4.0 までのリリース版。修正パッチでは `num_twt_flows > WIFI_MAX_TWT_FLOWS` または `event_len` が主張されるエントリ数より短いイベントを拒否し、呼び出し元バッファーに対する NULL チェックを追加します。
If you want to get best quality of vulnerability data, you may have to visit VulDB.