CVE-2026-31748 in Linux信息

摘要

由 VulDB • 2026-05-20

在 Linux 内核中，已修复以下漏洞：

comedi: me_daq: 修复固件缓冲区潜在的越界写入问题

`me2600_xilinx_download()` 函数加载由 `request_firmware()` 请求的固件。由于该函数盲目信任文件格式，可能会导致源缓冲区越界。它从文件的前 4 个字节中读取数据流长度到变量 `file_length` 中，并从偏移量 16 开始读取长度为 `file_length` 的数据流内容。虽然它检查了提供的固件长度至少为 16 字节，但未检查其长度是否足以容纳数据流。

添加一项测试，以确保提供的固件长度足以容纳头部和数据流。如果失败，则记录错误并返回 `-EINVAL`。

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Linux

预定

2026-03-09

披露

2026-05-01

管理

已接受

条目

VDB-360625

CPE

准备好

CWE

CWE-120 (已确认)

CVSS

8.0 (VulDB)

EPSS

0.00015

KEV

否

活动

非常低

部门

Pharma, Police, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31748
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31748
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31748/

◂ 上一步一览下一步 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!