PT-2024-11852 · Linux+4 · Linux Kernel+4

Publicado

2022-11-23

·

Atualizado

2025-09-29

·

CVE-2022-48987

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema diz respeito ao componente de mídia do kernel do Linux, especificamente ao arquivo v4l2-dv-timings.c. Trata-se de uma validação incorreta de entrada na função v4l2 valid dv timings(), o que pode levar a estouros de inteiros quando o espaço do usuário passa valores incomuns. O problema surge quando o espaço do usuário conhece apenas o total de blanking e o atribui a um único campo, fazendo com que as verificações de validade falhem. Para resolver isso, foi definido um limite máximo para o total de blanking horizontal e vertical, permitindo maior flexibilidade na forma como o espaço do usuário preenche esses campos. Essa alteração é suficiente para evitar estouros de inteiros. A exploração desse problema pode permitir que um invasor cause uma negação de serviço.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Integer Overflow

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190CWE-20

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2023-1066
BDU:2025-01679
CVE-2022-48987
OPENSUSE-SU-2024_3983-1
OPENSUSE-SU-2024_3985-1
OPENSUSE-SU-2024_4131-1
SUSE-SU-2024:3983-1
SUSE-SU-2024:3985-1
SUSE-SU-2024:4082-1
SUSE-SU-2024:4131-1
SUSE-SU-2024:4364-1

Produtos afetados

Alt Linux
Astra Linux
Linux Kernel
Red Os
Suse