Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el kernel de Linux (CVE-2026-23224)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416 Utilización después de liberación
Fecha de publicación:
18/02/2026
Última modificación:
02/04/2026

Descripción

Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux:<br /> <br /> erofs: soluciona un problema de UAF para montajes respaldados por archivos con la opción &amp;#39;directio&amp;#39;<br /> <br /> [ 9.269940][ T3222] Rastreo de llamadas:<br /> [ 9.269948][ T3222] ext4_file_read_iter+0xac/0x108<br /> [ 9.269979][ T3222] vfs_iocb_iter_read+0xac/0x198<br /> [ 9.269993][ T3222] erofs_fileio_rq_submit+0x12c/0x180<br /> [ 9.270008][ T3222] erofs_fileio_submit_bio+0x14/0x24<br /> [ 9.270030][ T3222] z_erofs_runqueue+0x834/0x8ac<br /> [ 9.270054][ T3222] z_erofs_read_folio+0x120/0x220<br /> [ 9.270083][ T3222] filemap_read_folio+0x60/0x120<br /> [ 9.270102][ T3222] filemap_fault+0xcac/0x1060<br /> [ 9.270119][ T3222] do_pte_missing+0x2d8/0x1554<br /> [ 9.270131][ T3222] handle_mm_fault+0x5ec/0x70c<br /> [ 9.270142][ T3222] do_page_fault+0x178/0x88c<br /> [ 9.270167][ T3222] do_translation_fault+0x38/0x54<br /> [ 9.270183][ T3222] do_mem_abort+0x54/0xac<br /> [ 9.270208][ T3222] el0_da+0x44/0x7c<br /> [ 9.270227][ T3222] el0t_64_sync_handler+0x5c/0xf4<br /> [ 9.270253][ T3222] el0t_64_sync+0x1bc/0x1c0<br /> <br /> EROFS puede encontrar el pánico anterior al habilitar el montaje respaldado por archivos con la opción de montaje directio; la causa raíz es que puede sufrir UAF en la siguiente condición de carrera:<br /> <br /> - z_erofs_read_folio wq s_dio_done_wq<br /> - z_erofs_runqueue<br /> - erofs_fileio_submit_bio<br /> - erofs_fileio_rq_submit<br /> - vfs_iocb_iter_read<br /> - ext4_file_read_iter<br /> - ext4_dio_read_iter<br /> - iomap_dio_rw<br /> : bio fue enviado y devuelve -EIOCBQUEUED<br /> - dio_aio_complete_work<br /> - dio_complete<br /> - dio-&amp;gt;iocb-&amp;gt;ki_complete (erofs_fileio_ki_complete())<br /> - kfree(rq)<br /> : libera iocb, iocb.ki_filp puede ser UAF en file_accessed().<br /> - file_accessed<br /> : accede a un puntero de archivo NULL<br /> <br /> Introducir un contador de referencias en la estructura erofs_fileio_rq, y lo inicializa a dos; tanto erofs_fileio_ki_complete() como erofs_fileio_rq_submit() disminuirán el contador de referencias, el último en disminuir el contador de referencias a cero liberará rq.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.80
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.12 (incluyendo) 6.12.72 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.13 (incluyendo) 6.18.11 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.19 (incluyendo) 6.19.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información