barebox prior to version 2026.04.0 contains out-of-bounds read vulnerabilities in ext4 extent parsing due to missing validation of the eh_entries field against buffer capacity in fs/ext4/ext4_common.c. Attackers can supply a malicious ext4 filesystem image via USB, SD card, or network boot to trigger heap out-of-bounds reads during boot-time filesystem parsing, potentially redirecting reads to arbitrary disk offsets.
Barebox bootloader versions prior to 2026.04.0 contain out-of-bounds read vulnerabilities in ext4 filesystem parsing that can be exploited via malicious filesystem images. Attackers can trigger heap reads during boot by supplying crafted ext4 images through USB, SD card, or network boot mechanisms.
يحتوي Barebox السابق للإصدار 2026.04.0 على ثغرات قراءة خارج الحدود في معالجة نظام ملفات ext4 بسبب عدم التحقق من صحة حقل eh_entries مقابل سعة المخزن المؤقت. يمكن للمهاجمين توفير صور نظام ملفات ext4 ضارة عبر USB أو بطاقة SD أو التمهيد عبر الشبكة لتشغيل قراءات heap خارج الحدود أثناء تحليل نظام الملفات في وقت التمهيد.
Barebox bootloader versions prior to 2026.04.0 contain out-of-bounds read vulnerabilities in ext4 filesystem parsing that can be exploited via malicious filesystem images. Attackers can trigger heap reads during boot by supplying crafted ext4 images through USB, SD card, or network boot mechanisms.
Update barebox to version 2026.04.0 or later. Implement strict validation of eh_entries field against buffer capacity in ext4 extent parsing. Restrict USB and SD card boot access through firmware settings. Disable network boot if not required. Validate filesystem images before boot.
قم بتحديث barebox إلى الإصدار 2026.04.0 أو أحدث. تطبيق التحقق الصارم من حقل eh_entries مقابل سعة المخزن المؤقت في معالجة امتدادات ext4. تقييد وصول التمهيد عبر USB وبطاقة SD من خلال إعدادات البرامج الثابتة. تعطيل التمهيد عبر الشبكة إذا لم يكن مطلوباً. التحقق من صور نظام الملفات قبل التمهيد.