CVE-2026-10641

Nome do Software Vulnerável e Versões Afetadas Zephyr versões 1.7 até 4.4.0

Descrição O analisador da função Hands-Free do Perfil de Mãos Livres (HFP) do Bluetooth Classic em subsys/bluetooth/host/classic/hfp hf.c contém uma gravação fora dos limites (out-of-bounds write). Durante a configuração da Conexão de Nível de Serviço, a unidade Hands-Free (HF) envia AT+CIND=? e analisa a resposta do Attendant Gateway (AG) na função cind handle(), que atribui um índice de contador por entrada e chama cind handle values() para cada elemento da lista. A função cind handle values() grava em hf-ind table[index] sem verificar se o index está dentro da matriz int8 t ind table[] de 20 elementos da struct bt hfp hf. Como o analisador não limita o número de entradas da lista +CIND:, um Attendant Gateway remoto pode enviar uma resposta com mais de 20 entradas para tornar o index arbitrariamente grande. Isso permite a gravação de valores além da matriz em campos adjacentes da estrutura, como máscaras de recursos, estado de SDP/versão, a matriz calls[] e registros de trabalho/atômicos, potencialmente extrapolando o slot do pool de conexão estática. Isso resulta em corrupção de memória e negação de serviço do host Bluetooth, desencadeado por uma única resposta AT malformada sem interação do usuário.

Recomendações Atualize o Zephyr para uma versão posterior à 4.4.0. Como medida paliativa temporária, desative CONFIG BT HFP HF para mitigar o risco de exploração.