| CVE ID | CVE-2026-14461 |
| Data publikacji | 10 lipca 2026 |
| Producent podatnego oprogramowania | BitWizard |
| Nazwa podatnego oprogramowania | mtr |
| Podatne wersje | Wszystkie do 0.96 włącznie |
| Typ podatności (CWE) | Out-of-bounds read (CWE-125) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu BitWizard mtr i koordynował proces ujawniania informacji.
Podatność CVE-2026-14461: mtr jest podatny na atak typu Out-of-bound read w funkcji ipinfo_lookup(). Atakujący, który może wpłynąć na odpowiedź TXT wykorzystywaną do wyszukiwania informacji o systemach autonomicznych (AS lookups), może wywołać ten błąd poprzez zwrócenie odpowiedzi DNS o rozmiarze przekraczającym 512 bajtów oraz użycie specjalnie spreparowanego wskaźnika kompresji w polu NAME odpowiedzi. Funkcja ipinfo_lookup() wykorzystuje długość odpowiedzi jako granicę końca wiadomości dla funkcji dn_expand(). Skutkiem jest możliwość doprowadzenia do awarii procesu.
Problem istnieje w mtr do wersji 0.96 włącznie i został naprawiony w commicie 48e1794414d338ce47abc0f27c25ade8788af9c3.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi i Marcinowi Wyczechowskiemu z zespołu AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.