目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-10669— zephyrproject zephyr 缓冲区错误漏洞

CVSS 7.8 · High EPSS 0.11% · P2

影响版本矩阵 1

厂商产品版本范围状态
zephyrprojectzephyr3.7.0< 4.5.0affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-10669 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Xtensa MPU `arch_buffer_validate()` integer-overflow lets a user thread bypass syscall pointer validation
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
On Xtensa SoCs built with CONFIG_XTENSA_MPU and CONFIG_USERSPACE, arch_buffer_validate() in arch/xtensa/core/mpu.c — the architecture hook that verifies a user-mode-supplied buffer is accessible to the calling user thread with the requested permission — defaulted its return value to 0 (access permitted) and only set a denial result inside its per-MPU-region probe loop. When the rounded extent of the buffer wraps the 32-bit address space (size + alignment offset near SIZE_MAX, or ROUND_UP(size + offset) overflowing to 0), the loop executes zero iterations and the function returns 0 = permitted without probing any MPU region. The syscall-layer pre-checks (K_SYSCALL_MEMORY_SIZE_CHECK / Z_DETECT_POINTER_OVERFLOW) only catch a raw addr+size wrap and do not cover the ROUND_UP-induced wrap, and the string path (arch_user_string_nlen -> arch_buffer_validate) has no syscall-layer guard at all. An unprivileged user-mode thread can therefore pass a crafted (addr, size) to any syscall that validates user buffers via k_usermode_from_copy/to_copy or k_usermode_string_copy and have validation succeed for memory it must not access; the kernel then reads from (disclosure) or, with write=1, writes to (corruption) attacker-chosen kernel or other-partition memory on the thread's behalf, enabling information disclosure, memory corruption, privilege escalation, and denial of service. Affected from v3.7.0 (when Xtensa MPU userspace support was added) through v4.4.0. The fix changes the default to -EINVAL (deny by default), adds an explicit size_add_overflow check, and sets the success value only after the full range has been validated.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
跨界内存写
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
zephyrproject zephyr 缓冲区错误漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
zephyrproject zephyr是zephyrproject组织开源的一款实时操作系统内核。 zephyr 3.7.0版本至4.4.0版本存在缓冲区错误漏洞,该漏洞源于arch_buffer_validate()函数默认返回值为0(允许访问),当缓冲区范围环绕32位地址空间时,导致MPU区域探测循环执行零次并返回允许访问,未授权用户模式线程可通过特制地址和大小参数绕过验证,导致信息泄露、内存破坏、权限提升和拒绝服务。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
zephyrprojectzephyr 3.7.0 ~ 4.5.0 -

二、漏洞 CVE-2026-10669 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-10669 的情报信息

登录查看更多情报信息。

CVE-2026-10669 补丁与修复 (1)

CVE-2026-10669 厂商安全公告 (1)

同批安全公告 · zephyrproject · 2026-07-14 · 共 4 条

CVE-2026-106728.2 HIGHzephyrproject zephyr 缓冲区错误漏洞
CVE-2026-106717.1 HIGHzephyrproject zephyr 资源管理错误漏洞
CVE-2026-106705.5 MEDIUMzephyrproject zephyr 异常处理不当漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-10669

暂无评论


发表评论