CVE-2026-10664 in zephyr
요약
\~에 의해 VulDB • 2026. 07. 13.
nrf_wifi_event_proc_get_power_save_info()라는 nRF70 Wi-Fi 드라이버의 파워 세이브 이벤트 핸들러는 drivers/wifi/nrf_wifi/src/wifi_mgmt.c에 위치해 있으며, nrf_wifi_umac_event_power_save_info 이벤트에서 TWT(Target Wake Time) 플로우 엔트리를 호출자가 제공한 struct wifi_ps_config 구조체의 고정 크기 배열인 twt_flows[WIFI_MAX_TWT_FLOWS](8개 요소)로 복사합니다. 이때 event_len을 확인하거나 num_twt_flows를 WIFI_MAX_TWT_FLOW와 비교 검증하지 않은 채 이벤트에서 제공하는 num_twt_flows만큼 반복 처리합니다.
num_twt_flows가 8을 초과하면 핸들러는 대상 배열(일반적으로 호출자의 스택에 위치함, 예: wifi ps 셸 명령어)의 경계를 넘어쓰게 되며(~40바이트 크기의 TWT 엔트리에 대한 out-of-bounds write), 이벤트 버퍼를 벗어난 twt_flow_info[i]도 읽습니다. 해당 이벤트는 호스트가 요청한 파워 세이브 GET에 응답하여 nRF70 코프로세서 펌웨어에서 전달되므로, 오버플로우 발생을 위해서는 펌웨어가 잘못되거나 범위를 벗어난 이벤트를 생성해야 합니다. 신뢰 경계는 직접적인 원격 AP 쓰기보다는 호스트-신뢰할 수 있는 코프로세서 간 통신이며, 무선 환경(over-the-air)에서의 플로우 카운트 영향은 3비트 TWT flow-id 공간에 의해 제한적이고 간접적입니다.
영향 범위: v4.4.0 이전 릴리스 중 CONFIG_NRF70_STA_MODE가 활성화된 빌드입니다. 수정 사항으로는 num_twt_flows > WIFI_MAX_TWT_FLOWS이거나 event_len이 주장된 엔트리 수보다 짧은 이벤트를 거부하고, 호출자 버퍼에 대한 NULL 체크를 추가하는 것이 포함됩니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.