CVE-2026-46048

Nome do Software Vulnerável e Versões Afetadas Linux kernel versões anteriores a 7.0.11-1.1

Description Ocorre um vazamento de contagem de referência no componente ALSA caiaq do kernel Linux durante a falha de probe. A função create card() aumenta a contagem de referência do dispositivo USB usando usb get dev(), mas o usb put dev() correspondente só é executado através do destrutor card free(). Como o destrutor ->private free é atribuído tardiamente no processo init card(), qualquer falha que ocorra antes dessa atribuição—como erros em usb set interface(), verificações de tipo de endpoint, usb submit urb() ou a troca EP1 CMD GET DEVICE INFO—impede a execução de card free(). Isso resulta em um vazamento da struct usb device, suas alocações de descritor e dados de device private.

Recommendations Atualize para a versão 7.0.11-1.1 ou posterior.