CVE-2026-10673 in zephyr情報

要約

〜によって VulDB • 2026年07月15日

ZephyrのADIN2111/ADIN1110 10BASE-T1S/T1L Ethernetドライバ(drivers/ethernet/eth_adin2111.c)は、OPEN Alliance (OA) SPIモードにおいて受信したEthernetフレームを再構成する際、デバイスから提供される64バイトのデータチャンクをサイズがCONFIG_ETH_ADIN2111_BUFFER_SIZE(デフォルトで1524バイト)に設定された固定静的バッファctx->bufへコピーします。eth_adin2111_oa_data_read()関数内では、有効な各チャンクがmemcpyによりctx->buf[ctx->scur]へコピーされ、書き込みカーソルscursurが進みますが、scur + lenがバッファの範囲内に収まるかどうかの確認は行われません。チャンクの総数(最大255個、BUFSTS RCAフィールドから取得)および各チャンクの長さは、ネットワーク経由で受信したフレームデータのみに基づいて決定され、カーソルはスタートオブフレームチャンクが発生した場合にのみリセットされます。したがって、シングルペアEthernetセグメント上の攻撃者は、再構成後のサイズが設定済みバッファの容量を超えるようなフレームを送信でき、これによりドライバのRXオフロードスレッドが静的バッファの末尾を超えてアタッカー制御下のフレームバイトを隣接するドライバ/カーネルメモリ(最悪の場合約14.8 KB)へ書き込むことになります。これはリモートまたは近傍から到達可能なアウトオブバウンズライト(CWE-787)であり、メモリの破損やサービス拒否を引き起こす可能性があり、さらにはコード実行につながる可能性があります。この欠陥はOA SPIサポートが追加された際(コミット 0ca8b0756b1)、リリースv3.7.0からv4.4.0に導入されました。修正では、境界チェックを追加し、サイズ超過のフレームを破棄してコピー前にカーソルをリセットします。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Zephyr

予約する

2026年06月02日

モデレーション

承諾済み

エントリ

VDB-379349

EPSS

0.00000

アクティビティ

非常低い

セクター

Pharma, Police, ...

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!