Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-45984

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416 Utilización después de liberación
Fecha de publicación:
27/05/2026
Última modificación:
01/07/2026

Descripción

*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> gfs2: Fix use-after-free in iomap inline data write path<br /> <br /> The inline data buffer head (dibh) is being released prematurely in<br /> gfs2_iomap_begin() via release_metapath() while iomap-&gt;inline_data<br /> still points to dibh-&gt;b_data. This causes a use-after-free when<br /> iomap_write_end_inline() later attempts to write to the inline data<br /> area.<br /> <br /> The bug sequence:<br /> 1. gfs2_iomap_begin() calls gfs2_meta_inode_buffer() to read inode<br /> metadata into dibh<br /> 2. Sets iomap-&gt;inline_data = dibh-&gt;b_data + sizeof(struct gfs2_dinode)<br /> 3. Calls release_metapath() which calls brelse(dibh), dropping refcount<br /> to 0<br /> 4. kswapd reclaims the page (~39ms later in the syzbot report)<br /> 5. iomap_write_end_inline() tries to memcpy() to iomap-&gt;inline_data<br /> 6. KASAN detects use-after-free write to freed memory<br /> <br /> Fix by storing dibh in iomap-&gt;private and incrementing its refcount<br /> with get_bh() in gfs2_iomap_begin(). The buffer is then properly<br /> released in gfs2_iomap_end() after the inline write completes,<br /> ensuring the page stays alive for the entire iomap operation.<br /> <br /> Note: A C reproducer is not available for this issue. The fix is based<br /> on analysis of the KASAN report and code review showing the buffer head<br /> is freed before use.<br /> <br /> [agruenba: Take buffer head reference in gfs2_iomap_begin() to avoid<br /> leaks in gfs2_iomap_get() and gfs2_iomap_alloc().]

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.2 (incluyendo) 5.10.252 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.11 (incluyendo) 5.15.202 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.16 (incluyendo) 6.1.165 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.2 (incluyendo) 6.6.128 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.7 (incluyendo) 6.12.75 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.13 (incluyendo) 6.18.14 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.19 (incluyendo) 6.19.4 (excluyendo)