Pubblicato il 2026-07-14 · Fonte: NVD NIST
La vulnerabilità CVE-2026-10672 è stata scoperta nel protocollo LwM2M e colpisce le versioni dal 3.0.0 al 4.4.0. La vulnerabilità si verifica a causa di una copia non valida della Package URI nel codice, che può portare a una lettura out-of-bounds e a una disclosure di informazioni o a un denial of service. Il CVSS Score di questa vulnerabilità è di 8.2, classificata come HIGH. La CWE associata è la CWE-125, che riguarda l'out-of-bounds read.
Un attaccante può sfruttare questa vulnerabilità per eseguire un'operazione di lettura out-of-bounds e ottenere informazioni sensibili sulla memoria del dispositivo. Ciò può portare a una disclosure di informazioni o a un denial of service, compromettendo la sicurezza e la stabilità del sistema. I dispositivi che utilizzano il protocollo LwM2M e hanno abilitato il supporto per l'aggiornamento del firmware sono a rischio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile applicare il patch di sicurezza che aggiunge un controllo di lunghezza per la Package URI e utilizza la funzione strcpy() per garantire una copia sicura della stringa. Inoltre, è importante mantenere il software e il firmware aggiornati e applicare le configurazioni di sicurezza raccomandate. Se non è possibile applicare il patch, è consigliabile disabilitare il supporto per l'aggiornamento del firmware fino a quando non sarà disponibile un aggiornamento sicuro.
La vulnerabilità CVE-2026-10672 è una vulnerabilità di sicurezza che colpisce il protocollo LwM2M e può portare a una lettura out-of-bounds e a una disclosure di informazioni o a un denial of service.
Le versioni dal 3.0.0 al 4.4.0 del protocollo LwM2M sono colpite dalla vulnerabilità.
Per proteggersi da questa vulnerabilità, è consigliabile applicare il patch di sicurezza e mantenere il software e il firmware aggiornati. Inoltre, è importante applicare le configurazioni di sicurezza raccomandate e disabilitare il supporto per l'aggiornamento del firmware fino a quando non sarà disponibile un aggiornamento sicuro.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.