КиберосноваSGRC
BDU:2025-07311
Высокий

BDU:2025-07311: Уязвимость функции wl1251_cmd_scan() модуля drivers/net/wireless/ti/wl1251/cmd.c - драйвера поддержки адаптеров беспроводной связи Texas Instruments ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

CVSS v38.8
CVSS v29.0

Детали уязвимости BDU:2025-07311

Описание

Уязвимость функции wl1251_cmd_scan() модуля drivers/net/wireless/ti/wl1251/cmd.c - драйвера поддержки адаптеров беспроводной связи Texas Instruments ядра операционной системы Linux связана с копированием буфера без проверки размера входных данных (классическое переполнение буфера). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Что делать с BDU:2025-07311

Высокая уязвимость (CVSS 8.8) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
8.8Высокий
Пересчитать →
v2
9.0
Только просмотр
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:S/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-120
Классическое переполнение буфера

Копирование данных без проверки размера. Классическая уязвимость C/C++ приложений.

Как атакуют и что делать ▾

Сценарий атаки

Функция strcpy/sprintf копирует данные без проверки размера. Буфер стека перезаписывается вместе с адресом возврата.

Последствия

Выполнение произвольного кода через перезапись стека (classic stack smashing).

Рекомендации

Замените strcpy→strncpy, sprintf→snprintf. Включите Stack Smashing Protection (-fstack-protector).

Тактики и техники

Манипулирование структурами данных

Уязвимое ПО (8)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияLinuxот 4.5 до 4.9.275 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.10 до 4.14.239 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.15 до 4.19.197 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.20 до 5.4.132 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.5 до 5.10.50 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.11 до 5.12.17 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.13 до 5.13.2 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 2.6.12 до 4.4.275 включительноНе указана

Среды функционирования (8)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияLinuxот 4.5 до 4.9.275 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.10 до 4.14.239 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.15 до 4.19.197 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.20 до 5.4.132 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.5 до 5.10.50 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.11 до 5.12.17 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.13 до 5.13.2 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 2.6.12 до 4.4.275 включительноНе указана

Рекомендации по устранению

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для Linux: https://git.kernel.org/stable/c/57ad99ae3c6738ba87bad259bb57c641ca68ebf6 https://git.kernel.org/stable/c/d3d8b9c9c7843dce31e284927d4c9904fd5a510a https://git.kernel.org/stable/c/0f6c0488368c9ac1aa685821916fadba32f5d1ef https://git.kernel.org/stable/c/115103f6e3f1c26c473766c16439c7c8b235529a https://git.kernel.org/stable/c/d71dddeb5380613f9ef199f3e7368fd78fb1a46e https://git.kernel.org/stable/c/c5e4a10d7bd5d4f419d8b9705dff60cf69b302a1 https://git.kernel.org/stable/c/302e2ee34c5f7c5d805b7f835d9a6f2b43474e2a https://git.kernel.org/stable/c/40af3960a15339e8bbd3be50c3bc7b35e1a0b6ea https://git.kernel.org/stable/c/d10a87a3535cce2b890897914f5d0d83df669c63 https://lore.kernel.org/linux-cve-announce/2024052139-CVE-2021-47347-82e1@gregkh/ https://git.kernel.org/linus/d10a87a3535cce2b890897914f5d0d83df669c63 https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/commit/?h=v5.10.176-lvc1&id=c5e4a10d7bd5d4f419d8b9705dff60cf69b302a1 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.276 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.276 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.240 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.198 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.133 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.51 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.18 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.13.3

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.8

Уточните SLA под вашу среду

Базовый балл 8.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации1.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2021-06-15

Опубликована

2025-06-23

Обновлена

2025-06-25

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0