CVE-2026-43023

Published: Mag 01, 2026 Last Modified: Mag 03, 2026

ExploitDB:

Other exploit source:

Google Dorks:

HIGH 7,8

Source: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

Attack Vector: local

Attack Complexity: low

Privileges Required: low

User Interaction: none

Scope: unchanged

Confidentiality: high

Integrity: high

Availability: high

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

Bluetooth: SCO: fix race conditions in sco_sock_connect()

sco_sock_connect() checks sk_state and sk_type without holding
the socket lock. Two concurrent connect() syscalls on the same
socket can both pass the check and enter sco_connect(), leading
to use-after-free.

The buggy scenario involves three participants and was confirmed
with additional logging instrumentation:

Thread A (connect): HCI disconnect: Thread B (connect):

sco_sock_connect(sk) sco_sock_connect(sk)
sk_state==BT_OPEN sk_state==BT_OPEN
(pass, no lock) (pass, no lock)
sco_connect(sk): sco_connect(sk):
hci_dev_lock hci_dev_lock
hci_connect_sco <- blocked
-> hcon1
sco_conn_add->conn1
lock_sock(sk)
sco_chan_add:
conn1->sk = sk
sk->conn = conn1
sk_state=BT_CONNECT
release_sock
hci_dev_unlock
hci_dev_lock
sco_conn_del:
lock_sock(sk)
sco_chan_del:
sk->conn=NULL
conn1->sk=NULL
sk_state=
BT_CLOSED
SOCK_ZAPPED
release_sock
hci_dev_unlock
(unblocked)
hci_connect_sco
-> hcon2
sco_conn_add
-> conn2
lock_sock(sk)
sco_chan_add:
sk->conn=conn2
sk_state=
BT_CONNECT
// zombie sk!
release_sock
hci_dev_unlock

Thread B revives a BT_CLOSED + SOCK_ZAPPED socket back to
BT_CONNECT. Subsequent cleanup triggers double sock_put() and
use-after-free. Meanwhile conn1 is leaked as it was orphaned
when sco_conn_del() cleared the association.

Fix this by:
- Moving lock_sock() before the sk_state/sk_type checks in
sco_sock_connect() to serialize concurrent connect attempts
- Fixing the sk_type != SOCK_SEQPACKET check to actually
return the error instead of just assigning it
- Adding a state re-check in sco_connect() after lock_sock()
to catch state changes during the window between the locks
- Adding sco_pi(sk)->conn check in sco_chan_add() to prevent
double-attach of a socket to multiple connections
- Adding hci_conn_drop() on sco_chan_add failure to prevent
HCI connection leaks

AI Generated Translation

Nel kernel Linux è stata risolta la seguente vulnerabilità:

Bluetooth: SCO: correzione delle condizioni di race in sco_sock_connect()

sco_sock_connect() verifica sk_state e sk_type senza acquisire il lock del socket. Due chiamate concurrenti a connect() sullo stesso socket possono entrambe superare il controllo e entrare in sco_connect(), portando a un use-after-free.

Lo scenario buggy coinvolge tre partecipanti ed è stato confermato con strumenti di logging aggiuntivi:

Thread A (connect): Disconnessione HCI: Thread B (connect):

sco_sock_connect(sk) sco_sock_connect(sk)
sk_state==BT_OPEN sk_state==BT_OPEN
(passa, senza lock) (passa, senza lock)
sco_connect(sk): sco_connect(sk):
hci_dev_lock hci_dev_lock
hci_connect_sco <- bloccato
-> hcon1
sco_conn_add->conn1
lock_sock(sk)
sco_chan_add:
conn1->sk = sk
sk->conn = conn1
sk_state=BT_CONNECT
release_sock
hci_dev_unlock
hci_dev_lock
sco_conn_del:
lock_sock(sk)
sco_chan_del:
sk->conn=NULL
conn1->sk=NULL
sk->state=
BT_CLOSED
SOCK_ZAPPED
release_sock
hci_dev_unlock
(sbloccato)
hci_connect_sco
-> hcon2
sco_conn_add
-> conn2
lock_sock(sk)
sco_chan_add:
sk->conn=conn2
sk_state=
BT_CONNECT
// socket zombie!
release_sock
hci_dev_unlock

Il Thread B riattiva un socket BT_CLOSED + SOCK_ZAPPED tornando a
BT_CONNECT. La successiva pulizia scatena un doppio sock_put() e
un use-after-free. Nel frattempo, conn1 viene leakato poiché è stato orfano
quando sco_conn_del() ha eliminato l'associazione.

Correggere questo problema con:
- Spostare lock_sock() prima dei controlli su sk_state/sk_type in
sco_sock_connect() per serializzare i tentativi di connessione concorrenti
- Correggere il controllo sk_type != SOCK_SEQPACKET affinché
ritorni effettivamente l'errore invece di assegnarlo semplicemente
- Aggiungere un controllo dello stato in sco_connect() dopo lock_sock()
per intercettare eventuali cambiamenti di stato durante la finestra tra i lock
- Aggiungere un controllo sco_pi(sk)->conn in sco_chan_add() per evitare
il doppio attacco di un socket a più connessioni
- Aggiungere hci_conn_drop() in caso di fallimento di sco_chan_add() per prevenire perdite di connessioni HCI