CVE-2025-40210

Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)

Descrição Existe uma falha no daemon do Network File System (NFSD) do kernel Linux relacionada ao tratamento de operações COMPOUND do NFSv4. Especificamente, uma alteração anterior removeu um limite no número de operações permitidas dentro de uma única solicitação COMPOUND do NFSv4. Essa remoção permitiu que um atacante especificasse uma contagem de operações arbitrariamente grande no cabeçalho COMPOUND, potencialmente levando a um erro vmalloc e esgotamento da memória do sistema quando o NFSD tenta alocar memória para o array de operações COMPOUND. O problema foi acionado ao usar pynfs COMP6, fazendo com que a conexão ou lease entrasse em um estado instável, resultando em travamentos indefinidos durante operações CLOSE9. A vulnerabilidade foi tratada restaurando um limite no número de operações por COMPOUND, definindo-o como 200.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.