CVE-2026-10664 in zephyr정보

요약

\~에 의해 VulDB • 2026. 07. 13.

nrf_wifi_event_proc_get_power_save_info()라는 nRF70 Wi-Fi 드라이버의 파워 세이브 이벤트 핸들러는 drivers/wifi/nrf_wifi/src/wifi_mgmt.c에 위치해 있으며, nrf_wifi_umac_event_power_save_info 이벤트에서 TWT(Target Wake Time) 플로우 엔트리를 호출자가 제공한 struct wifi_ps_config 구조체의 고정 크기 배열인 twt_flows[WIFI_MAX_TWT_FLOWS](8개 요소)로 복사합니다. 이때 event_len을 확인하거나 num_twt_flows를 WIFI_MAX_TWT_FLOW와 비교 검증하지 않은 채 이벤트에서 제공하는 num_twt_flows만큼 반복 처리합니다.

num_twt_flows가 8을 초과하면 핸들러는 대상 배열(일반적으로 호출자의 스택에 위치함, 예: wifi ps 셸 명령어)의 경계를 넘어쓰게 되며(~40바이트 크기의 TWT 엔트리에 대한 out-of-bounds write), 이벤트 버퍼를 벗어난 twt_flow_info[i]도 읽습니다. 해당 이벤트는 호스트가 요청한 파워 세이브 GET에 응답하여 nRF70 코프로세서 펌웨어에서 전달되므로, 오버플로우 발생을 위해서는 펌웨어가 잘못되거나 범위를 벗어난 이벤트를 생성해야 합니다. 신뢰 경계는 직접적인 원격 AP 쓰기보다는 호스트-신뢰할 수 있는 코프로세서 간 통신이며, 무선 환경(over-the-air)에서의 플로우 카운트 영향은 3비트 TWT flow-id 공간에 의해 제한적이고 간접적입니다.

영향 범위: v4.4.0 이전 릴리스 중 CONFIG_NRF70_STA_MODE가 활성화된 빌드입니다. 수정 사항으로는 num_twt_flows > WIFI_MAX_TWT_FLOWS이거나 event_len이 주장된 엔트리 수보다 짧은 이벤트를 거부하고, 호출자 버퍼에 대한 NULL 체크를 추가하는 것이 포함됩니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

Zephyr

예약하다

2026. 06. 02.

모더레이션

수락

항목

VDB-377880

EPSS

0.00000

활동

중간

출처

Want to know what is going to be exploited?

We predict KEV entries!