CVE-2025-22083

Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)

Descrição O problema está relacionado ao tratamento de múltiplas chamadas para vhost scsi set endpoint no kernel Linux. Isso pode levar a vários problemas, incluindo um bug de use-after-free quando nenhum tpgs é encontrado, um travamento na remoção do diretório tpg devido à contagem de referência cair para -1, e um vazamento de tpg porque o nome do alvo é sobrescrito quando vhost scsi set endpoint é chamado múltiplas vezes com diferentes nomes de alvo. O número estimado de dispositivos potencialmente afetados mundialmente não está disponível. Não há informações sobre incidentes reais onde este problema foi explorado.

Recomendações Para resolver o problema, recomenda-se impedir que vhost scsi set endpoint seja chamado se ele já tiver adicionado tpgs com sucesso. Para adicionar, remover ou alterar a configuração do tpg ou nome do alvo, você deve executar um vhost scsi clear endpoint primeiro. Como solução alternativa temporária, considere restringir o uso da função vhost scsi set endpoint até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.