| CVE ID | CVE-2026-56288 |
| Data publikacji | 09 lipca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | patch |
| Podatne wersje | Wszystkie do 2.8.0 włącznie |
| Typ podatności (CWE) | NULL Pointer Dereference (CWE-476) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-56289 |
| Data publikacji | 09 lipca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | patch |
| Podatne wersje | Wszystkie do 2.8.0 włącznie |
| Typ podatności (CWE) | Loop with Unreachable Exit Condition ('Infinite Loop') (CWE-835) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu GNU patch i koordynował proces ujawniania informacji.
Podatność CVE-2026-56288: W GNU patch zidentyfikowano podatność typu NULL pointer dereference występującą podczas przetwarzania specjalnie spreparowanego pliku poprawki w formacie unified-diff. Niewłaściwa obsługa kolejnych znaczników końca pliku może uszkodzić wewnętrzne struktury danych w hunk (pojedynczym bloku zmian w pliku diff), co powoduje, że aplikacja przekazuje wskaźnik NULL do fwrite() podczas przetwarzania poprawki. Atakujący może wywołać ten stan za pomocą złośliwego pliku poprawki, powodując nieobsłużone zakończenie procesu.
Problem ten został naprawiony w commicie e6d6a4e021660679d7fc9150f981d4920f722313
Podatność CVE-2026-56289: W GNU patch zidentyfikowano podatność typu Denial of Service (DoS) wynikającą z niewłaściwej walidacji przesunięć linii w hunk (pojedynczym bloku zmian w pliku diff) w danych wejściowych unified-diff. Przetwarzanie specjalnie spreparowanego pliku poprawki, wskazującego niezwykle duży numer linii, powoduje, że aplikacja wpada w nieskończoną pętlę przetwarzania podczas próby zlokalizowania żądanej pozycji. Skutkuje to nadmiernym zużyciem procesora i uniemożliwia zakończenie procesu. Atakujący może wywołać to zachowanie, dostarczając złośliwy plik poprawki, co powoduje, powodując że aplikacja staje się nieresponsywna i wymaga ręcznego zakończenia.
Problem ten został naprawiony w commicie faba04ef4f2b410257f76c1b9dc85e350929c4b9
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z zespołu AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.