Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-37539 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-01 |
| Producent | cannelloni |
| Produkt | cannelloni |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Podatność typu buffer overflow (przepełnienie bufora) w cannelloni v2.0.0 w parsowaniu ramek CAN w funkcji
parseCANFramew plikuparser.cpporaz w funkcjidecodeFramew plikudecoder.cpppozwala zdalnym atakującym wywołać denial of service (crash) lub potencjalnie wykonać dowolny kod za pośrednictwem spreparowanych ramek CAN FD.
Wymagane działania
Zaktualizuj cannelloni do wersji nowszej niż 2.0.0 zawierającej poprawkę. Do czasu aktualizacji ogranicz dostęp sieciowy do hosta uruchamiającego cannelloni - w szczególności do portów odbierających ramki CAN over UDP. W systemach motoryzacyjnych i przemysłowych rozważ ustanowienie segmentacji sieciowej i monitoring ruchu CAN-over-IP pod kątem nietypowych ramek.
Kogo dotyczy?
Podatność dotyczy projektu cannelloni (tunelowanie CAN-over-UDP). Sprawdź czy Twoja organizacja używa tego oprogramowania w systemach motoryzacyjnych, robotyce lub IoT i wdroż aktualizację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
