PT-2025-49375 · Linux+3 · Linux Kernel+3

Publicado

2025-11-03

·

Atualizado

2026-04-20

·

CVE-2025-40274

CVSS v2.0

4.4

Média

VetorAV:L/AC:M/Au:S/C:N/I:N/A:C
Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)
Descrição O Kernel Linux contém uma falha no subsistema KVM relacionada ao gerenciamento de memória. Especificamente, o problema surge ao desvincular um memslot de uma instância guest memfd enquanto o arquivo associado está sendo liberado. Isso pode levar a uma condição de use-after-free, potencialmente resultando em uma falha do sistema. O problema ocorre porque as vinculações não são removidas mesmo quando o arquivo guest memfd está sendo encerrado, e liberar o memslot antes que o arquivo seja totalmente liberado pode causar uma escrita em memória já liberada. O problema foi detectado pelo syzbot+KASAN.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

BDU:2026-02960
CVE-2025-40274
OPENSUSE-SU-2026:20145-1
SUSE-SU-2026:0278-1
SUSE-SU-2026:0281-1
SUSE-SU-2026:0315-1
SUSE-SU-2026:20207-1
SUSE-SU-2026:20220-1
SUSE-SU-2026:20228-1
SUSE-SU-2026:20477-1
SUSE-SU-2026:20498-1
SUSE-SU-2026:20845-1
SUSE-SU-2026:20876-1
USN-8029-1
USN-8029-2
USN-8029-3
USN-8030-1
USN-8048-1

Produtos afetados

Debian
Linuxmint
Linux Kernel
Ubuntu