NVD Vulnerability Detail

CVE-2026-46195

Summary	In the Linux kernel, the following vulnerability has been resolved: smb: client: validate dacloffset before building DACL pointers parse_sec_desc(), build_sec_desc(), and the chown path in id_mode_to_cifs_acl() all add the server-supplied dacloffset to pntsd before proving a DACL header fits inside the returned security descriptor. On 32-bit builds a malicious server can return dacloffset near U32_MAX, wrap the derived DACL pointer below end_of_acl, and then slip past the later pointer-based bounds checks. build_sec_desc() and id_mode_to_cifs_acl() can then dereference DACL fields from the wrapped pointer in the chmod/chown rewrite paths. Validate dacloffset numerically before building any DACL pointer and reuse the same helper at the three DACL entry points.
Publication Date	May 28, 2026, 7:16 p.m.
Registration Date	May 29, 2026, 4:13 a.m.
Last Update	May 30, 2026, 8:17 p.m.

CVSS3.1 : CRITICAL
スコア	9.8
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

Related information, measures and tools

No	URL	refsource
1	https://git.kernel.org/stable/c/3b1ddba19e77ee35241cd27f16dc3e8d14e08db7	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/8bd07e417b6bda67e317920584e48cb6ee442a8a	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/ba7f71b6161c0943dafc367565e5843d16b7d505	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/c688f3ed73d31943334ad2139cb02ec49664322a	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/f98b48151cc502ada59d9778f0112d21f2586ca3	416baaa9-dc9f-4396-8d5f-8c081fb06d67

Common Vulnerabilities List

JVN Vulnerability Information

LinuxのLinux KernelにおけるNULL ポインタデリファレンスに関する脆弱性

Title	LinuxのLinux KernelにおけるNULL ポインタデリファレンスに関する脆弱性
Summary	Linuxカーネルにおいて、以下の脆弱性が修正されました。smbクライアントがDACLポインタを構築する前にdacloffsetを検証しなかった問題です。parse_sec_desc()、build_sec_desc()、およびid_mode_to_cifs_acl()のchown経路はすべて、サーバーから提供されたdacloffsetをpntsdに加え、その後返されたセキュリティディスクリプタ内にDACLヘッダーが収まっていることを確認します。32ビットビルドでは、不正なサーバーがdacloffsetを非常に大きな値に設定し、導出されたDACLポインタが境界を越えてラップアラウンドし、その後のポインタベースの境界チェックを回避する可能性がありました。build_sec_desc()およびid_mode_to_cifs_acl()は、その後、chmod/chown書き換え経路においてラップされたポインタからDACLフィールドを間接参照してしまいます。dacloffsetはDACLポインタを構築する前に数値的に検証されるべきであり、同じヘルパー関数を3か所のDACLエントリポイントで使い回す必要があります。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	May 28, 2026, midnight
Registration Date	June 11, 2026, 4:22 p.m.
Last Update	June 11, 2026, 4:22 p.m.

Affected System

Linux

Linux Kernel 5.12 以上 6.6.140 未満

Linux Kernel 6.13 以上 6.18.30 未満

Linux Kernel 6.19 以上 7.0.7 未満

Linux Kernel 6.7 以上 6.12.88 未満

Linux Kernel 7.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46195	https://www.cve.org/CVERecord?id=CVE-2026-46195
National Vulnerability Database (NVD)
2	CVE-2026-46195	https://nvd.nist.gov/vuln/detail/CVE-2026-46195

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-476	http://cwe.mitre.org/data/definitions/476.html

その他

No	Name	URL
関連文書
1	smb: client: validate dacloffset before building DACL pointers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3b1ddba19e77ee35241cd27f16dc3e8d14e08db7)	https://git.kernel.org/stable/c/3b1ddba19e77ee35241cd27f16dc3e8d14e08db7
2	smb: client: validate dacloffset before building DACL pointers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8bd07e417b6bda67e317920584e48cb6ee442a8a)	https://git.kernel.org/stable/c/8bd07e417b6bda67e317920584e48cb6ee442a8a
3	smb: client: validate dacloffset before building DACL pointers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/ba7f71b6161c0943dafc367565e5843d16b7d505)	https://git.kernel.org/stable/c/ba7f71b6161c0943dafc367565e5843d16b7d505
4	smb: client: validate dacloffset before building DACL pointers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/c688f3ed73d31943334ad2139cb02ec49664322a)	https://git.kernel.org/stable/c/c688f3ed73d31943334ad2139cb02ec49664322a
5	smb: client: validate dacloffset before building DACL pointers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/f98b48151cc502ada59d9778f0112d21f2586ca3)	https://git.kernel.org/stable/c/f98b48151cc502ada59d9778f0112d21f2586ca3

Change Log

No	Changed Details	Date of change
1	[2026年06月11日] 掲載	June 11, 2026, 4:22 p.m.