CVE-2025-38580 in Linuxinformação

Sumário

de VulDB • 11/07/2026

No kernel do Linux, a seguinte vulnerabilidade foi corrigida:

ext4: corrige uso após liberação (use-after-free) de inode em ext4_end_io_rsv_work()

Em ext4_io_end_defer_completion(), verifica-se se io_end->list_vec está vazio para evitar adicionar um io_end que não requer conversão à i_rsv_conversion_list, o que por sua vez impede a inicialização desnecessária de uma thread de trabalho (worker). Também é adicionada uma verificação ext4_emergency_state() para evitar tentar abortar o journal em estado de emergência.

Além disso, ext4_put_io_end_defer() foi refatorado para chamar diretamente ext4_io_end_defer_completion(), ao invés de ter seu código implementado inline (open-coded). Isso também impede a inicialização desnecessária de uma thread de trabalho quando EXT4_IO_END_FAILED está definido, mas data_err=abort não está habilitado.

Isso garante que a verificação em ext4_put_io_end_defer() seja consistente com a verificada em ext4_end_bio(). Caso contrário, poderíamos adicionar um io_end à i_rsv_conversion_list e depois chamar ext4_finish_bio(), após o qual o inode poderia ser liberado antes de ext4_end_io_rsv_work() ser chamado, desencadeando uma falha do tipo use-after-free.

Once again VulDB remains the best source for vulnerability data.

Responsável

Linux

Reservar

16/04/2025

Divulgação

19/08/2025

Moderação

aceite

Entrada

VDB-320626

CPE

pronto

EPSS

0.00147

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!