CVE-2026-31607: Критична вразливість у Linux kernel usbip
Виявлено критичну вразливість CVE-2026-31607 в Linux kernel usbip, що дозволяє віддалене пошкодження пам’яті. Рекомендується оновлення ядра.
- CVSS
- 9.8 CRITICAL
- EPSS
- 22.94%
- Активно використовується
- немає в KEV
- Продукт
- linux kernel
Що відомо
У Linux kernel виправлено критичну вразливість в usbip, пов’язану з некоректною перевіркою number_of_packets у функції usbip_pack_ret_submit(). Зловмисний сервер USB/IP може викликати запис за межами виділеної пам’яті, що призводить до потенційного виконання шкідливого коду.
Бізнес-вплив
Ця вразливість може дозволити віддаленому зловмиснику через USB/IP сервер викликати пошкодження пам’яті на клієнтській системі, що може призвести до аварійного завершення роботи ядра або виконання довільного коду з привілеями ядра. Власники інфраструктури на базі Linux повинні розглядати це як критичну загрозу, особливо якщо використовується USB/IP для віддаленого доступу до USB-пристроїв.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень ядра Linux від постачальника та застосувати відповідні патчі. Якщо оновлення недоступні, слід обмежити використання USB/IP, ретельно контролювати мережевий трафік і журнали подій на предмет підозрілої активності, а також пріоритезувати оновлення систем, що використовують USB/IP.