CVE-2026-31424

Name of the Vulnerable Software and Affected Versions Linux kernel (versões afetadas não especificadas)

Description Uma falha existe no componente netfilter x tables onde as estruturas xt match e xt target registradas com NFPROTO UNSPEC podem ser carregadas por qualquer família de protocolo via nft compat. Quando essas estruturas usam uma máscara de bits com constantes NF INET * para restringir hooks, a validação passa incorretamente para o protocolo ARP porque NF ARP OUT compartilha o mesmo valor que NF INET LOCAL IN. Isso permite que correspondências sejam executadas em cadeias ARP onde as suposições de hook esperadas não são atendidas, podendo levar a desreferenciações de ponteiro NULL, como observado na função devgroup mt().

Recommendations Restringir o arptables para usar apenas extensões NFPROTO ARP. Como medida paliativa temporária, restrinja o uso de xt devgroup em cadeias ARP até que a atualização seja aplicada.