| CVE ID | CVE-2026-40467 |
| Data publikacji | 13 lipca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | gawk |
| Podatne wersje | Wszystkie do 5.4.0 włącznie |
| Typ podatności (CWE) | Use After Free (CWE-416) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-40468 |
| Data publikacji | 13 lipca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | gawk |
| Podatne wersje | Wszystkie do 5.4.0 włącznie |
| Typ podatności (CWE) | Integer Overflow or Wraparound (CWE-190) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-40469 |
| Data publikacji | 13 lipca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | gawk |
| Podatne wersje | Wszystkie do 5.4.0 włącznie |
| Typ podatności (CWE) | Integer Overflow or Wraparound (CWE-190) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-40553 |
| Data publikacji | 13 lipca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | gawk |
| Podatne wersje | Wszystkie do 5.4.0 włącznie |
| Typ podatności (CWE) | Stack-based Buffer Overflow (CWE-121) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu GNU gawk i koordynował proces ujawniania informacji.
Podatność CVE-2026-40467: W pliku źródłowym io.c programu gawk (procedura do_getline_redir()) wykryto podatność typu Use After Free. Może ona prowadzić do awarii programu.
Podatność CVE-2026-40468: W pliku źródłowym builtin.c programu gawk wykryto podatność typu integer overflow. Może ona prowadzić do wyczerpania pamięci systemu operacyjnego oraz zostać wykorzystana do nadpisania metadanych sterty i obiektów bajtami kontrolowanymi przez atakującego.
Podatność CVE-2026-40469: W pliku źródłowym builtin.c programu gawk (procedura do_sub()) wykryto podatność typu integer overflow. Może ona zostać wykorzystana do nadpisania metadanych sterty i obiektów, powodując awarię programu. Podatność dotyczy 32-bitowych kompilacji programu gawk.
Podatność CVE-2026-40553: W pliku źródłowym extension/readdir.c programu gawk (procedura ftype()) wykryto podatność typu buffer overflow. Może ona zostać wykorzystana do spowodowania awarii programu, a potencjalnie również do wykonania kodu, choć możliwość ta nie została potwierdzona.
Podatności zostały wyeliminowane w wydaniu 5.4.1 programu gawk.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z zespołu AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.