CVE-2026-23286

Published: Mar 25, 2026 Last Modified: Mar 25, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

atm: lec: fix null-ptr-deref in lec_arp_clear_vccs

syzkaller reported a null-ptr-deref in lec_arp_clear_vccs().
This issue can be easily reproduced using the syzkaller reproducer.

In the ATM LANE (LAN Emulation) module, the same atm_vcc can be shared by
multiple lec_arp_table entries (e.g., via entry->vcc or entry->recv_vcc).
When the underlying VCC is closed, lec_vcc_close() iterates over all
ARP entries and calls lec_arp_clear_vccs() for each matched entry.

For example, when lec_vcc_close() iterates through the hlists in
priv->lec_arp_empty_ones or other ARP tables:

1. In the first iteration, for the first matched ARP entry sharing the VCC,
lec_arp_clear_vccs() frees the associated vpriv (which is vcc->user_back)
and sets vcc->user_back to NULL.
2. In the second iteration, for the next matched ARP entry sharing the same
VCC, lec_arp_clear_vccs() is called again. It obtains a NULL vpriv from
vcc->user_back (via LEC_VCC_PRIV(vcc)) and then attempts to dereference it
via `vcc->pop = vpriv->old_pop`, leading to a null-ptr-deref crash.

Fix this by adding a null check for vpriv before dereferencing
it. If vpriv is already NULL, it means the VCC has been cleared
by a previous call, so we can safely skip the cleanup and just
clear the entry's vcc/recv_vcc pointers.

The entire cleanup block (including vcc_release_async()) is placed inside
the vpriv guard because a NULL vpriv indicates the VCC has already been
fully released by a prior iteration — repeating the teardown would
redundantly set flags and trigger callbacks on an already-closing socket.

The Fixes tag points to the initial commit because the entry->vcc path has
been vulnerable since the original code. The entry->recv_vcc path was later
added by commit 8d9f73c0ad2f ('atm: fix a memory leak of vcc->user_back')
with the same pattern, and both paths are fixed here.

AI Generated Translation

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

atm: lec: fix null-ptr-deref in lec_arp_clear_vccs

syzkaller ha segnalato un null-ptr-deref in lec_arp_clear_vccs().
Questo problema può essere facilmente riprodotto utilizzando il riproduttore di syzkaller.

Nella sezione ATM LANE (LAN Emulation), lo stesso atm_vcc può essere condiviso da
più voci di lec_arp_table (ad esempio, tramite entry->vcc o entry->recv_vcc).
Quando il VCC sottostante viene chiuso, lec_vcc_close() itera su tutte
le voci ARP e chiama lec_arp_clear_vccs() per ciascuna voce corrispondente.

Ad esempio, quando lec_vcc_close() itera attraverso le hlists in
priv->lec_arp_empty_ones o altre tabelle ARP:

1. Nella prima iterazione, per la prima voce ARP corrispondente che condivide il VCC,
lec_arp_clear_vccs() libera il vpriv associato (che è vcc->user_back)
e imposta vcc->user_back a NULL.
2. Nella seconda iterazione, per la successiva voce ARP che condivide lo stesso
VCC, lec_arp_clear_vccs() viene richiamata nuovamente. Essa ottiene un vpriv NULL da
vcc->user_back (tramite LEC_VCC_PRIV(vcc)) e tenta di dereferenziare questo puntatore
via `vcc->pop = vpriv->old_pop`, causando un crash di null-ptr-deref.

Correggi questo comportamento aggiungendo un controllo di NULL per vpriv prima di
derealizzarlo. Se vpriv è già NULL, significa che il VCC è stato già liberato
da una chiamata precedente, quindi possiamo saltare in sicurezza la pulizia e
semplicemente azzerare i puntatori vcc/recv_vcc dell’entry.

L’intero blocco di cleanup (compreso vcc_release_async()) è collocato all’interno
del controllo vpriv perché un vpriv NULL indica che il VCC è già stato completamente
rilasciato da un’iterazione precedente — ripetere la procedura di teardown
sarebbe ridondante e potrebbe impostare flag o chiamare callback su una socket già in fase di chiusura.

Il tag Fixes fa riferimento al commit iniziale perché il percorso entry->vcc è
stato vulnerabile sin dalla versione originale del codice. Il percorso entry->recv_vcc è stato successivamente
aggiunto dal commit 8d9f73c0ad2f ("atm: fix a memory leak of vcc->user_back")
con lo stesso pattern, e entrambi i percorsi sono stati corretti in questa patch.