Vulnerabilidad en Linux (CVE-2026-23327)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
25/03/2026
Última modificación:
23/04/2026
Descripción
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br />
<br />
cxl/mbox: validar el tamaño de la carga útil antes de acceder a los contenidos en cxl_payload_from_user_allowed()<br />
<br />
cxl_payload_from_user_allowed() convierte y desreferencia la carga útil de entrada sin verificar primero su tamaño. Cuando se envía un comando de buzón sin procesar con una carga útil de tamaño insuficiente (es decir: 1 byte para CXL_MBOX_OP_CLEAR_LOG, que espera un UUID de 16 bytes), uuid_equal() lee más allá del búfer asignado, lo que activa un KASAN splat:<br />
<br />
BUG: KASAN: slab-out-of-bounds en memcmp+0x176/0x1d0 lib/string.c:683<br />
Lectura de tamaño 8 en la dirección ffff88810130f5c0 por la tarea syz.1.62/2258<br />
<br />
CPU: 2 UID: 0 PID: 2258 Comm: syz.1.62 No contaminado 6.19.0-dirty #3 PREEMPT(voluntary)<br />
Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.17.0-0-gb52ca86e094d-prebuilt.qemu.org 04/01/2014<br />
Traza de llamadas:<br />
<br />
__dump_stack lib/dump_stack.c:94 [inline]<br />
dump_stack_lvl+0xab/0xe0 lib/dump_stack.c:120<br />
print_address_description mm/kasan/report.c:378 [inline]<br />
print_report+0xce/0x650 mm/kasan/report.c:482<br />
kasan_report+0xce/0x100 mm/kasan/report.c:595<br />
memcmp+0x176/0x1d0 lib/string.c:683<br />
uuid_equal include/linux/uuid.h:73 [inline]<br />
cxl_payload_from_user_allowed drivers/cxl/core/mbox.c:345 [inline]<br />
cxl_mbox_cmd_ctor drivers/cxl/core/mbox.c:368 [inline]<br />
cxl_validate_cmd_from_user drivers/cxl/core/mbox.c:522 [inline]<br />
cxl_send_cmd+0x9c0/0xb50 drivers/cxl/core/mbox.c:643<br />
__cxl_memdev_ioctl drivers/cxl/core/memdev.c:698 [inline]<br />
cxl_memdev_ioctl+0x14f/0x190 drivers/cxl/core/memdev.c:713<br />
vfs_ioctl fs/ioctl.c:51 [inline]<br />
__do_sys_ioctl fs/ioctl.c:597 [inline]<br />
__se_sys_ioctl fs/ioctl.c:583 [inline]<br />
__x64_sys_ioctl+0x18e/0x210 fs/ioctl.c:583<br />
do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline]<br />
do_syscall_64+0xa8/0x330 arch/x86/entry/syscall_64.c:94<br />
entry_SYSCALL_64_after_hwframe+0x77/0x7f<br />
RIP: 0033:0x7fdaf331ba79<br />
Code: ff ff c3 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 &lt;48&gt; 3d 01 f0 ff ff 73 01 c3 48 c7 c1 a8 ff ff ff f7 d8 64 89 01 48<br />
RSP: 002b:00007fdaf1d77038 EFLAGS: 00000246 ORIG_RAX: 0000000000000010<br />
RAX: ffffffffffffffda RBX: 00007fdaf3585fa0 RCX: 00007fdaf331ba79<br />
RDX: 00002000000001c0 RSI: 00000000c030ce02 RDI: 0000000000000003<br />
RBP: 00007fdaf33749df R08: 0000000000000000 R09: 0000000000000000<br />
R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000000<br />
R13: 00007fdaf3586038 R14: 00007fdaf3585fa0 R15: 00007ffced2af768<br />
<br />
<br />
Añadir el parámetro &#39;in_size&#39; a cxl_payload_from_user_allowed() y validar que la carga útil sea lo suficientemente grande.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.19.1 (incluyendo) | 6.19.7 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:5.19:-:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc4:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc5:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc6:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:7.0:rc7:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página