PT-2025-40163 · Linux+3 · Linux Kernel+3

Publicado

2023-07-25

·

Atualizado

2025-11-19

·

CVE-2023-53456

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)
Descrição Existe uma falha no driver qla4xxx do Kernel Linux relacionada ao processamento de atributos de rede (nlattrs). Especificamente, as funções qla4xxx set chap entry(), qla4xxx iface set param() e qla4xxx sysfs ddb set param() convertem diretamente nlattrs em ponteiros de estrutura sem validar seu tamanho. Um nlattr mal formado, como um com tamanho 0, poderia levar a uma leitura fora dos limites (OOB), potencialmente expondo dados do heap. O problema é resolvido adicionando uma verificação de tamanho antes de acessar os dados do nlattr e retornando um erro se a verificação falhar.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

BDU:2026-03824
CVE-2023-53456
OESA-2025-2533
SUSE-SU-2025:03600-1
SUSE-SU-2025:03614-1
SUSE-SU-2025:03615-1
SUSE-SU-2025:03634-1
SUSE-SU-2025:20851-1
SUSE-SU-2025:20861-1
SUSE-SU-2025:20870-1
SUSE-SU-2025:20898-1
SUSE-SU-2025:3751-1
SUSE-SU-2025:3761-1
SUSE-SU-2025:4057-1
SUSE-SU-2025:4132-1
SUSE-SU-2025:4141-1

Produtos afetados

Astra Linux
Linux Kernel
Suse
Qla4Xxx Driver