CVE-2026-31424

Published: Apr 13, 2026 Last Modified: Apr 13, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

netfilter: x_tables: restrict xt_check_match/xt_check_target extensions for NFPROTO_ARP

Weiming Shi says:

xt_match and xt_target structs registered with NFPROTO_UNSPEC can be
loaded by any protocol family through nft_compat. When such a
match/target sets .hooks to restrict which hooks it may run on, the
bitmask uses NF_INET_* constants. This is only correct for families
whose hook layout matches NF_INET_*: IPv4, IPv6, INET, and bridge
all share the same five hooks (PRE_ROUTING ... POST_ROUTING).

ARP only has three hooks (IN=0, OUT=1, FORWARD=2) with different
semantics. Because NF_ARP_OUT == 1 == NF_INET_LOCAL_IN, the .hooks
validation silently passes for the wrong reasons, allowing matches to
run on ARP chains where the hook assumptions (e.g. state->in being
set on input hooks) do not hold. This leads to NULL pointer
dereferences; xt_devgroup is one concrete example:

Oops: general protection fault, probably for non-canonical address 0xdffffc0000000044: 0000 [#1] SMP KASAN NOPTI
KASAN: null-ptr-deref in range [0x0000000000000220-0x0000000000000227]
RIP: 0010:devgroup_mt+0xff/0x350
Call Trace:
<TASK>
nft_match_eval (net/netfilter/nft_compat.c:407)
nft_do_chain (net/netfilter/nf_tables_core.c:285)
nft_do_chain_arp (net/netfilter/nft_chain_filter.c:61)
nf_hook_slow (net/netfilter/core.c:623)
arp_xmit (net/ipv4/arp.c:666)
</TASK>
Kernel panic - not syncing: Fatal exception in interrupt

Fix it by restricting arptables to NFPROTO_ARP extensions only.
Note that arptables-legacy only supports:

- arpt_CLASSIFY
- arpt_mangle
- arpt_MARK

that provide explicit NFPROTO_ARP match/target declarations.

AI Generated Translation

Nel kernel Linux è stata risolta la seguente vulnerabilità:

netfilter: x_tables: restrizione delle estensioni xt_check_match/xt_check_target per NFPROTO_ARP

Weiming Shi afferma:

Le strutture xt_match e xt_target registrate con NFPROTO_UNSPEC possono essere caricate da qualsiasi famiglia di protocolli tramite nft_compat. Quando una tale match/target imposta .hooks per limitare su quali hook può essere eseguita, la maschera di bit utilizza le costanti NF_INET_*. Ciò è corretto solo per le famiglie la cui disposizione degli hook corrisponde a NF_INET_*: IPv4, IPv6, INET e bridge condividono tutti e cinque gli hook (PRE_ROUTING ... POST_ROUTING).

ARP dispone di soli tre hook (IN=0, OUT=1, FORWARD=2) con semantiche diverse. Poiché NF_ARP_OUT == 1 == NF_INET_LOCAL_IN, la validazione di .hooks passa silenziosamente per motivi sbagliati, consentendo alle match di essere eseguite sulle catene ARP dove le assunzioni sugli hook (ad esempio, state->in impostato sugli hook di input) non sono valide. Questo porta a dereferenziazioni di puntatori NULL; xt_devgroup è un esempio concreto:

Oops: general protection fault, probabilmente per indirizzo non canonico 0xdffffc0000000044: 0000 [#1] SMP KASAN NOPTI
KASAN: null-ptr-deref in range [0x0000000000000220-0x0000000000000227]
RIP: 0010:devgroup_mt+0xff/0x350
Call Trace:
<TASK>
nft_match_eval (net/netfilter/nft_compat.c:407)
nft_do_chain (net/netfilter/nf_tables_core.c:285)
nft_do_chain_arp (net/netfilter/nft_chain_filter.c:61)
nf_hook_slow (net/netfilter/core.c:623)
arp_xmit (net/ipv4/arp.c:666)
</TASK>
Kernel panic - non si sincronizza: eccezione fatale in interrupt

Correggere questa vulnerabilità limitando arptables alle estensioni NFPROTO_ARP esclusivamente.
Si noti che arptables-legacy supporta solo:

- arpt_CLASSIFY
- arpt_mangle
- arpt_MARK

che forniscono dichiarazioni esplicite di match/target NFPROTO_ARP.