CVE-2026-31711

Published: Mag 01, 2026 Last Modified: Mag 03, 2026

ExploitDB:

Other exploit source:

Google Dorks:

HIGH 7,5

Source: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

Attack Vector: network

Attack Complexity: low

Privileges Required: none

User Interaction: none

Scope: unchanged

Confidentiality: none

Integrity: none

Availability: high

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

smb: server: fix active_num_conn leak on transport allocation failure

Commit 77ffbcac4e56 ('smb: server: fix leak of active_num_conn in
ksmbd_tcp_new_connection()') addressed the kthread_run() failure
path. The earlier alloc_transport() == NULL path in the same
function has the same leak, is reachable pre-authentication via any
TCP connect to port 445, and was empirically reproduced on UML
(ARCH=um, v7.0-rc7): a small number of forced allocation failures
were sufficient to put ksmbd into a state where every subsequent
connection attempt was rejected for the remainder of the boot.

ksmbd_kthread_fn() increments active_num_conn before calling
ksmbd_tcp_new_connection() and discards the return value, so when
alloc_transport() returns NULL the socket is released and -ENOMEM
returned without decrementing the counter. Each such failure
permanently consumes one slot from the max_connections pool; once
cumulative failures reach the cap, atomic_inc_return() hits the
threshold on every subsequent accept and every new connection is
rejected. The counter is only reset by module reload.

An unauthenticated remote attacker can drive the server toward the
memory pressure that makes alloc_transport() fail by holding open
connections with large RFC1002 lengths up to MAX_STREAM_PROT_LEN
(0x00FFFFFF); natural transient allocation failures on a loaded
host produce the same drift more slowly.

Mirror the existing rollback pattern in ksmbd_kthread_fn(): on the
alloc_transport() failure path, decrement active_num_conn gated on
server_conf.max_connections.

Repro details: with the patch reverted, forced alloc_transport()
NULL returns leaked counter slots and subsequent connection
attempts -- including legitimate connects issued after the
forced-fail window had closed -- were all rejected with 'Limit the
maximum number of connections'. With this patch applied, the same
connect sequence produces no rejections and the counter cycles
cleanly between zero and one on every accept.

AI Generated Translation

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

smb: server: correggere la perdita di active_num_conn in caso di fallimento nell'allocazione del trasporto

Il commit 77ffbcac4e56 ("smb: server: fix leak of active_num_conn in ksmbd_tcp_new_connection()") ha affrontato il percorso di fallimento di kthread_run(). Il percorso precedente, in cui alloc_transport() == NULL, nello stesso funzione, presenta la stessa perdita, è raggiungibile prima dell'autenticazione tramite qualsiasi connessione TCP sulla porta 445, ed è stato riprodotto empiricamente su UML (ARCH=um, v7.0-rc7): un piccolo numero di fallimenti forzati di allocazione erano sufficienti a mettere ksmbd in uno stato in cui ogni tentativo di connessione successivo veniva rifiutato per il resto dell'avvio.

ksmbd_kthread_fn() incrementa active_num_conn prima di chiamare ksmbd_tcp_new_connection() e scarta il valore di ritorno, quindi quando alloc_transport() restituisce NULL, il socket viene rilasciato e viene restituito -ENOMEM senza decrementare il contatore. Ogni fallimento di questo tipo consuma permanentemente uno slot dal pool max_connections; una volta che i fallimenti cumulativi raggiungono il limite, atomic_inc_return() raggiunge la soglia ad ogni accept successivo e ogni nuova connessione viene rifiutata. Il contatore viene resettato solo con il ricaricamento del modulo.

Un attaccante remoto non autenticato può portare il server verso una condizione di pressione della memoria che fa fallire alloc_transport() mantenendo aperte connessioni con lunghezze RFC1002 elevate fino a MAX_STREAM_PROT_LEN (0x00FFFFFF); i fallimenti transitori naturali di allocazione su un host caricato producono lo stesso effetto più lentamente.

Si replica il pattern di rollback esistente in ksmbd_kthread_fn(): nel percorso di fallimento di alloc_transport(), si decrementa active_num_conn condizionato da server_conf.max_connections.

Dettagli di riproduzione: con la patch revertita, i ritorni NULL forzati di alloc_transport() causavano perdite di slot nel contatore e i tentativi di connessione successivi — inclusi i tentativi legittimi effettuati dopo la chiusura della finestra di fallimento forzato — venivano tutti rifiutati con il messaggio "Limit the maximum number of connections". Con questa patch applicata, la stessa sequenza di connessioni non produce rifiuti e il contatore cicla correttamente tra zero e uno ad ogni accept.