Gratis scannen
Analyse in behandelingCVE-2026-22165

CVE-2026-22165: Write UAF in GPU DDK 1.18.0–26.1 RTM

Platform

linux

Component

imagination-technologies-gpu-ddk

Opgelost in

24.2.1

Bekijk op NVD
Opslaan

CVE-2026-22165 beschrijft een Write After Free (UAF) kwetsbaarheid in de GPU DDK (Device Driver Kit). Deze kwetsbaarheid treedt op wanneer een webpagina ongebruikelijke WebGPU content laadt die een crash veroorzaakt in de GPU GLES user-space shared library. Het potentieel voor verdere exploits is aanwezig, vooral op platforms waar het proces dat de grafische workload uitvoert, systeem privileges heeft. De kwetsbaarheid is verholpen in versie 24.2.1.

Impact en Aanvalsscenarios

Een succesvolle exploit van CVE-2026-22165 kan leiden tot een denial-of-service (DoS) door het crashen van de GPU GLES user-space shared library. In scenario's waar het proces dat de grafische workload uitvoert, systeem privileges heeft, kan een aanvaller deze kwetsbaarheid misbruiken om verdere exploits uit te voeren, mogelijk resulterend in code-uitvoering of toegang tot gevoelige gegevens. De impact is groter op systemen die afhankelijk zijn van WebGPU voor kritieke functionaliteit, aangezien een crash van de GPU de hele applicatie of zelfs het besturingssysteem kan beïnvloeden. Hoewel er momenteel geen publieke exploits bekend zijn, is het potentieel voor misbruik aanwezig, vooral gezien de mogelijkheid om systeem privileges te escaleren.

Uitbuitingscontext

De ernst van CVE-2026-22165 wordt momenteel geëvalueerd. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits bekend. De kwetsbaarheid is gepubliceerd op 2026-05-01. Het is belangrijk om te benadrukken dat, hoewel er geen actieve campagnes bekend zijn, de Write After Free aard van de kwetsbaarheid een potentieel voor misbruik biedt, vooral in omgevingen met systeem privileges.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO

EPSS

0.01% (3% percentiel)

Getroffen Software

Componentimagination-technologies-gpu-ddk
LeverancierImagination Technologies
Minimumversie1.18.0
Maximumversie26.1 RTM
Opgelost in24.2.1

Zwakheidsclassificatie (CWE)

CWE-416

Tijdlijn

  1. Gepubliceerd
  2. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-22165 is het upgraden van de GPU DDK naar versie 24.2.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot WebGPU functionaliteit in webapplicaties. Implementeer strenge validatie van WebGPU content om te voorkomen dat onverwachte of kwaadaardige data wordt geladen. Monitor systeemlogboeken op crashes of ongebruikelijke GPU-gerelateerde fouten. Hoewel er geen specifieke WAF-regels of YARA-patronen beschikbaar zijn, kan het implementeren van een zero-trust beveiligingsmodel de impact van een succesvolle exploit verminderen. Na de upgrade, controleer de GPU-functionaliteit door WebGPU applicaties te testen en te verifiëren dat er geen crashes optreden.

Hoe te verhelpenwordt vertaald…

Actualice el driver de GPU DDK a la versión 24.2.1 o posterior para mitigar la vulnerabilidad de uso después de liberar (UAF).  Verifique la documentación de Imagination Technologies para obtener instrucciones específicas de actualización para su plataforma y configuración.  Asegúrese de aplicar las actualizaciones de seguridad más recientes para su sistema operativo y hardware.

Veelgestelde vragen

Wat is CVE-2026-22165 — Write UAF in GPU DDK 1.18.0–26.1 RTM?

CVE-2026-22165 is een Write After Free (UAF) kwetsbaarheid in de GPU DDK, die een crash kan veroorzaken bij het laden van onverwachte WebGPU content. Dit kan leiden tot verdere exploits op systemen met systeem privileges.

Am I affected by CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTM?

U bent mogelijk getroffen als u een systeem gebruikt met de GPU DDK versie 1.18.0–26.1 RTM en WebGPU functionaliteit gebruikt. Controleer de versie van uw GPU DDK met dkutil -v.

How do I fix CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTM?

Upgrade de GPU DDK naar versie 24.2.1 of hoger. Indien een directe upgrade niet mogelijk is, beperk dan de toegang tot WebGPU functionaliteit.

Is CVE-2026-22165 being actively exploited?

Momenteel zijn er geen publieke exploits of actieve campagnes bekend, maar de Write After Free aard van de kwetsbaarheid biedt potentieel voor misbruik.

Where can I find the official GPU DDK advisory for CVE-2026-22165?

Raadpleeg de officiële documentatie en beveiligingsadviezen van de GPU DDK vendor voor de meest recente informatie over CVE-2026-22165.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...