Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

CVE-2026-31712

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787 Escritura fuera de límites
Fecha de publicación:
01/05/2026
Última modificación:
17/05/2026

Descripción

*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> ksmbd: require minimum ACE size in smb_check_perm_dacl()<br /> <br /> Both ACE-walk loops in smb_check_perm_dacl() only guard against an<br /> under-sized remaining buffer, not against an ACE whose declared<br /> `ace-&gt;size` is smaller than the struct it claims to describe:<br /> <br /> if (offsetof(struct smb_ace, access_req) &gt; aces_size)<br /> break;<br /> ace_size = le16_to_cpu(ace-&gt;size);<br /> if (ace_size &gt; aces_size)<br /> break;<br /> <br /> The first check only requires the 4-byte ACE header to be in bounds;<br /> it does not require access_req (4 bytes at offset 4) to be readable.<br /> An attacker who has set a crafted DACL on a file they own can declare<br /> ace-&gt;size == 4 with aces_size == 4, pass both checks, and then<br /> <br /> granted |= le32_to_cpu(ace-&gt;access_req); /* upper loop */<br /> compare_sids(&amp;sid, &amp;ace-&gt;sid); /* lower loop */<br /> <br /> reads access_req at offset 4 (OOB by up to 4 bytes) and ace-&gt;sid at<br /> offset 8 (OOB by up to CIFS_SID_BASE_SIZE + SID_MAX_SUB_AUTHORITIES<br /> * 4 bytes).<br /> <br /> Tighten both loops to require<br /> <br /> ace_size &gt;= offsetof(struct smb_ace, sid) + CIFS_SID_BASE_SIZE<br /> <br /> which is the smallest valid on-wire ACE layout (4-byte header +<br /> 4-byte access_req + 8-byte sid base with zero sub-auths). Also<br /> reject ACEs whose sid.num_subauth exceeds SID_MAX_SUB_AUTHORITIES<br /> before letting compare_sids() dereference sub_auth[] entries.<br /> <br /> parse_sec_desc() already enforces an equivalent check (lines 441-448);<br /> smb_check_perm_dacl() simply grew weaker validation over time.<br /> <br /> Reachability: authenticated SMB client with permission to set an ACL<br /> on a file. On a subsequent CREATE against that file, the kernel<br /> walks the stored DACL via smb_check_perm_dacl() and triggers the<br /> OOB read. Not pre-auth, and the OOB read is not reflected to the<br /> attacker, but KASAN reports and kernel state corruption are<br /> possible.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.30
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.15 (incluyendo) 6.12.84 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.13 (incluyendo) 6.18.25 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.19 (incluyendo) 7.0.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información