الثغرات ›

CVE-2026-34961

متوسط

CWE-125 — نوع الضعف

                    نُشر: May 11, 2026                      ·  آخر تحديث: May 13, 2026                      ·  المصدر: NVD                

CVSS v3

6.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

barebox prior to version 2026.04.0 contains out-of-bounds read vulnerabilities in ext4 extent parsing due to missing validation of the eh_entries field against buffer capacity in fs/ext4/ext4_common.c. Attackers can supply a malicious ext4 filesystem image via USB, SD card, or network boot to trigger heap out-of-bounds reads during boot-time filesystem parsing, potentially redirecting reads to arbitrary disk offsets.

🤖 ملخص AI

Barebox bootloader versions prior to 2026.04.0 contain out-of-bounds read vulnerabilities in ext4 filesystem parsing that can be exploited via malicious filesystem images. Attackers can trigger heap reads during boot by supplying crafted ext4 images through USB, SD card, or network boot mechanisms.

📄 الوصف (العربية)

يحتوي Barebox السابق للإصدار 2026.04.0 على ثغرات قراءة خارج الحدود في معالجة نظام ملفات ext4 بسبب عدم التحقق من صحة حقل eh_entries مقابل سعة المخزن المؤقت. يمكن للمهاجمين توفير صور نظام ملفات ext4 ضارة عبر USB أو بطاقة SD أو التمهيد عبر الشبكة لتشغيل قراءات heap خارج الحدود أثناء تحليل نظام الملفات في وقت التمهيد.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 22, 2026 07:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

energy government healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1542.001 T1542.005 T1025

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update barebox to version 2026.04.0 or later. Implement strict validation of eh_entries field against buffer capacity in ext4 extent parsing. Restrict USB and SD card boot access through firmware settings. Disable network boot if not required. Validate filesystem images before boot.

🔧 خطوات المعالجة (العربية)

قم بتحديث barebox إلى الإصدار 2026.04.0 أو أحدث. تطبيق التحقق الصارم من حقل eh_entries مقابل سعة المخزن المؤقت في معالجة امتدادات ext4. تقييد وصول التمهيد عبر USB وبطاقة SD من خلال إعدادات البرامج الثابتة. تعطيل التمهيد عبر الشبكة إذا لم يكن مطلوباً. التحقق من صور نظام الملفات قبل التمهيد.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.1.1.1 A.2.1.1 A.3.1.1

🔵 SAMA CSF

ID.AM-2 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.14.1.1 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/barebox/barebox

disclosure@vulncheck.com

🔗

https://github.com/barebox/barebox/releases/tag/v2026.04.0

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/barebox-ext4-extent-parsing-out-of-bounds-read

disclosure@vulncheck.com

📊 CVSS Score

6.2

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.2

CWECWE-125

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-11

المصدر nvd

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-125

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-34961

عرّفنا بنفسك

تسجيل الدخول مطلوب