漏洞概述 漏洞名称: FatFS uninitialized cluster exposure after seek beyond EOF CVE编号: CVE-2026-6686 发布日期: 2026年6月30日 严重程度: 中等(CVSS v3.1 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/E:H/M:4.6) 技术影响: 部分 该漏洞影响ChaN的FatFS R0.16及更早版本。问题在于当 在EOF之后扩展文件时,未初始化新分配的簇。这映射到CVE-908(使用未初始化资源的用法)。 影响范围 供应商: ChaN 产品: FatFs 相关CVE: CVE-2026-6686 下游项目: STMicroelectronics Middleware FatFS MCU, RT-Thread, ArduPilot, RIOT OS, Arm Limited Mbed, 和 Adafruit Industries TinyUF2 修复方案 页面中未提供具体的修复方案,但建议更新到最新版本或应用官方补丁。 POC代码 其他信息 发现者: Tod Beardsley CVE协调: Tod Beardsley, runZero, Inc. 时间线: - 2026-03-17: 初始发现并记录 - 2026-04-20: CVE ID保留 - 2026-04-20: 首次联系供应商,无响应 - 2026-04-27: 联系JPCERT/CC寻求协调帮助 - 2026-04-28: JPCERT/CC联系供应商,无响应 - 2026-05-14: 联系主要下游实现者 - 2026-06-18: 更新JPCERT/CC和下游供应商,日期改为7月11日披露 - 2026-07-01: 公开披露CVE-2026-6682 订阅 获取最新新闻和专家见解,订阅邮箱。 --- 总结完毕