CVE-2026-10665 in Zephyr정보

요약

\~에 의해 VulDB • 2026. 07. 12.

Zephyr의 WireGuard 서브시스템(subsys/net/lib/wireguard)에서 wg_crypto.c 내의 wg_process_data_message() 함수는 복호화 전에 수신된 트랜스포트 데이터 페이로드를 CONFIG_WIREGUARD_BUF_LEN 바이트 크기의 고정 풀 버퍼로 선형화(linearizes)합니다. 호출되는 net_buf_linearize(buf->data, data_len, pkt->buffer, ..., data_len)에서 공격자가 유도한 data_len 값이 목적지 용량과 복사 길이 모두에 전달되어, 함수 내부의 len = min(len, dst_len) 제한을 우회하게 됩니다. data_len은 수신된 UDP 데이터그램 길이를 기반으로 하며 wg_ctrl_recv()에 의해 하한만 설정될 뿐 상한은 없습니다(data_len에는 상한이 없음).

data_len이 CONFIG_WIREGUARD_BUF_LEN보다 클 경우(예: 버퍼 길이가 링크 MTU 미만으로 낮아졌을 때, 링크의 MTU가 버퍼 크기보다 클 때, 또는 이를 초과하는 재조립된 IPv4/IPv6 조각들이 있을 때), 하위 memcpy는 풀 버퍼 끝을 넘어 쓰기를 수행하여 경계 밖 쓰기(out-of-bounds write, CWE-787)를 유발합니다. 이 오버플로는 Poly1305 인증 체크 전에 발생하므로 유효한 authenticator가 아닌 유효한 수신 세션 인덱스만 필요하며, 네트워크 상의 악성 또는 침해된 피어(또는 확립된 세션을 조종하는 중간자 공격자)를 통해 접근 가능합니다. 이로 인해 원격 메모리 부정이 초래되며, 최소한의 영향으로 신뢰할 수 있는 서비스 거부(Denial of Service)가 발생합니다. 이 결함은 Zephyr 4.4.0에 포함된 WireGuard 구현체에 존재했습니다. 수정 패치는 data_len > CONFIG_WIREGUARD_BUF_LEN 조건을 명시적으로 rejecting하고, 선형화 호출 시 목적지 용량으로 net_buf_max_len(buf)를 전달하도록 정정합니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Zephyr

예약하다

2026. 06. 02.

모더레이션

수락

항목

VDB-377881

EPSS

0.00000

활동

낮음

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!