PT-2022-7478 · Linux+7 · Linux Kernel+7

Syzbot

·

Publicado

2022-02-21

·

Atualizado

2025-09-29

·

CVE-2022-48866

CVSS v3.1

7.1

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de uma verificação de validação do número real de endpoints no componente hid-thrustmaster do kernel do Linux. Isso pode levar a uma leitura fora dos limites na função thrustmaster interrupts. A causa principal é que o código não verifica se a matriz usb host interface::endpoint contém menos endpoints do que o esperado, o que pode resultar em uma leitura fora dos limites do slab na função thrustmaster probe(). A exploração desse problema pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2024:7000
ALSA-2024:7001
ALSA-2025_16880
BDU:2024-06621
CESA-2024_7000
CESA-2024_7001
CVE-2022-48866
INFSA-2024_7000
INFSA-2024_7001
OPENSUSE-SU-2024_2947-1
RHSA-2022:8267
RHSA-2022_8267
RHSA-2024:7000
RHSA-2024:7001
RHSA-2024_7000
RHSA-2024_7001
RLSA-2024:7001
SUSE-SU-2024:2894-1
SUSE-SU-2024:2902-1
SUSE-SU-2024:2929-1
SUSE-SU-2024:2939-1
SUSE-SU-2024:2947-1

Produtos afetados

Almalinux
Astra Linux
Centos
Linux Kernel
Red Hat
Red Os
Rocky Linux
Suse