PT-2025-18408 · Linux+4 · Linux Kernel+4

Publicado

2025-03-27

·

Atualizado

2026-01-26

·

CVE-2025-23154

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)
Descrição Uma vulnerabilidade foi corrigida no kernel Linux relacionada ao componente io uring/net, especificamente referente ao abuso de io req post cqe por envios agrupados. O problema ocorre porque io req post cqe deveria ser usado apenas por requisições multishot, mas envios agrupados não são requisições multishot. Uma flag foi adicionada para indicar se uma requisição deseja postar múltiplos CQEs. A função io req post cqe é chamada a partir de io send, que faz parte do subsistema io uring.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Improper Initialization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-665

Identificadores relacionados

BDU:2025-12247
CVE-2025-23154
SUSE-SU-2025:01951-1
SUSE-SU-2025:01967-1
SUSE-SU-2025:01972-1
SUSE-SU-2025_01951-1
SUSE-SU-2025_01967-1
SUSE-SU-2025_01972-1
USN-7594-1
USN-7594-2
USN-7594-3

Produtos afetados

Astra Linux
Linux Kernel
Red Os
Suse
Ubuntu