A flaw was found in libefiboot, a component of efivar. The device path node parser in libefiboot fails to validate that each node's Length field is at least 4 bytes, which is the minimum size for an EFI (Extensible Firmware Interface) device path node header. A local user could exploit this vulnerability by providing a specially crafted device path node. This can lead to infinite recursion, causing stack exhaustion and a process crash, resulting in a denial of service (DoS).
CVE-2026-6862 is a denial of service vulnerability in libefiboot's device path parser that fails to validate minimum node length requirements, allowing local users to trigger infinite recursion and stack exhaustion. The flaw affects EFI firmware components and can crash processes through specially crafted device path inputs.
تحتوي هذه الثغرة على خلل في مكون libefiboot حيث لا يتحقق محلل عقدة مسار الجهاز من أن حقل الطول لكل عقدة يبلغ 4 بايتات على الأقل. يمكن لمستخدم محلي استغلال هذا الخلل بتقديم عقدة مسار جهاز مصنوعة بشكل خاص لتسبب استدعاء متكرر لا نهائي.
هذا الثغرة في مكون libefiboot تسمح للمستخدمين المحليين باستغلال فشل التحقق من طول عقدة مسار الجهاز، مما يؤدي إلى استدعاء متكرر لا نهائي وإرهاق المكدس. يمكن للمهاجمين إيقاف الخدمات من خلال إدخال مسارات جهاز مصنوعة بشكل خاص.
Update libefiboot to the latest patched version that implements proper validation of device path node Length fields to ensure minimum 4-byte header size. Apply firmware updates from your system vendor and restrict local user access to EFI device path manipulation interfaces.
قم بتحديث libefiboot إلى أحدث إصدار يتضمن التحقق الصحيح من حقول طول عقدة مسار الجهاز. طبق تحديثات البرامج الثابتة من مورد النظام وقيد وصول المستخدمين المحليين إلى واجهات معالجة مسارات أجهزة EFI.