CVE-2026-23348

Published: Mar 25, 2026 Last Modified: Mar 25, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

cxl: Fix race of nvdimm_bus object when creating nvdimm objects

Found issue during running of cxl-translate.sh unit test. Adding a 3s
sleep right before the test seems to make the issue reproduce fairly
consistently. The cxl_translate module has dependency on cxl_acpi and
causes orphaned nvdimm objects to reprobe after cxl_acpi is removed.
The nvdimm_bus object is registered by the cxl_nvb object when
cxl_acpi_probe() is called. With the nvdimm_bus object missing,
__nd_device_register() will trigger NULL pointer dereference when
accessing the dev->parent that points to &nvdimm_bus->dev.

[ 192.884510] BUG: kernel NULL pointer dereference, address: 000000000000006c
[ 192.895383] Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS edk2-20250812-19.fc42 08/12/2025
[ 192.897721] Workqueue: cxl_port cxl_bus_rescan_queue [cxl_core]
[ 192.899459] RIP: 0010:kobject_get+0xc/0x90
[ 192.924871] Call Trace:
[ 192.925959] <TASK>
[ 192.926976] ? pm_runtime_init+0xb9/0xe0
[ 192.929712] __nd_device_register.part.0+0x4d/0xc0 [libnvdimm]
[ 192.933314] __nvdimm_create+0x206/0x290 [libnvdimm]
[ 192.936662] cxl_nvdimm_probe+0x119/0x1d0 [cxl_pmem]
[ 192.940245] cxl_bus_probe+0x1a/0x60 [cxl_core]
[ 192.943349] really_probe+0xde/0x380

This patch also relies on the previous change where
devm_cxl_add_nvdimm_bridge() is called from drivers/cxl/pmem.c instead
of drivers/cxl/core.c to ensure the dependency of cxl_acpi on cxl_pmem.

1. Set probe_type of cxl_nvb to PROBE_FORCE_SYNCHRONOUS to ensure the
driver is probed synchronously when add_device() is called.
2. Add a check in __devm_cxl_add_nvdimm_bridge() to ensure that the
cxl_nvb driver is attached during cxl_acpi_probe().
3. Take the cxl_root uport_dev lock and the cxl_nvb->dev lock in
devm_cxl_add_nvdimm() before checking nvdimm_bus is valid.
4. Set cxl_nvdimm flag to CXL_NVD_F_INVALIDATED so cxl_nvdimm_probe()
will exit with -EBUSY.

The removal of cxl_nvdimm devices should prevent any orphaned devices
from probing once the nvdimm_bus is gone.

[ dj: Fixed 0-day reported kdoc issue. ]
[ dj: Fix cxl_nvb reference leak on error. Gregory (kreview-0811365) ]

AI Generated Translation

Nel kernel Linux è stata risolta la seguente vulnerabilità:

cxl: Correzione della condizione di race dell'oggetto nvdimm_bus durante la creazione di oggetti nvdimm

Il problema è stato riscontrato durante l'esecuzione del test unitario cxl-translate.sh. L'aggiunta di una pausa di 3 secondi immediatamente prima del test sembra rendere l'issue riproduttivo con buona frequenza. Il modulo cxl_translate dipende da cxl_acpi e provoca il ri-scan di oggetti nvdimm orfani dopo la rimozione di cxl_acpi. L'oggetto nvdimm_bus viene registrato dall'oggetto cxl_nvb quando viene chiamato cxl_acpi_probe(). In assenza dell'oggetto nvdimm_bus, __nd_device_register() genera un dereference di puntatore NULL quando tenta di accedere a dev->parent, che punta a &nvdimm_bus->dev.

Questo patch si basa anche sulla modifica precedente in cui devm_cxl_add_nvdimm_bridge() viene chiamato da drivers/cxl/pmem.c invece che da drivers/cxl/core.c, per garantire la dipendenza di cxl_acpi da cxl_pmem.

Interventi principali:
1. Impostare probe_type di cxl_nvb a PROBE_FORCE_SYNCHRONOUS per assicurare che il driver venga probeato in modo sincrono quando add_device() viene chiamato.
2. Aggiungere un controllo in __devm_cxl_add_nvdimm_bridge() per verificare che il driver cxl_nvb sia attaccato durante cxl_acpi_probe().
3. Acquisire il lock cxl_root uport_dev e il lock di cxl_nvb->dev in devm_cxl_add_nvdimm() prima di verificare che nvdimm_bus sia valido.
4. Impostare il flag cxl_nvdimm a CXL_NVD_F_INVALIDATED in modo che cxl_nvdimm_probe() esca con -EBUSY.

La rimozione dei dispositivi cxl_nvdimm dovrebbe prevenire la presenza di dispositivi orfani che tentano di essere probeati una volta che nvdimm_bus è stato rimosso.

[ dj: Risolta problematica di kdoc segnalata come 0-day. ]
[ dj: Correzione del leak di riferimento di cxl_nvb in caso di errore. Gregory (kreview-0811365) ]

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0002

Percentile

0,0th

Updated

Single Data Point

Only one EPSS measurement is available for this CVE. Trend analysis requires multiple data points over time.

https://git.kernel.org/stable/c/5b230daeee420833287cc773144…

https://git.kernel.org/stable/c/5b230daeee420833287cc77314439903e5312f10

https://git.kernel.org/stable/c/5fc4e150c5ada5f7d20d8f9f1b3…

https://git.kernel.org/stable/c/5fc4e150c5ada5f7d20d8f9f1b351f10481fbdf7

https://git.kernel.org/stable/c/96a1fd0d84b17360840f3448268…

https://git.kernel.org/stable/c/96a1fd0d84b17360840f344826897fa71049870e

CVE-2026-23348

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

Single Data Point

Iscriviti alla newsletter