El 18 de juny de 2026 es va divulgar a la llista oss-security una lectura fora de límits al driver WWAN de MediaTek t7xx, el mòdul del kernel que governa els mòdems 5G MediaTek T7xx presents en molts portàtils i equips amb connectivitat cel·lular integrada. El defecte va rebre l’identificador CVE-2026-43495 i una puntuació CVSS v3 de 8.8.
Què falla exactament
El driver viu a drivers/net/wwan/t7xx dins de l’arbre del kernel. Durant l’arrencada de l’enllaç amb el mòdem, la funció t7xx_port_enum_msg_handler() rep un missatge d’enumeració de ports i fa servir el camp port_count que envia el mateix mòdem com a límit del bucle que recorre les descripcions de port. El problema és que aquest valor mai no es contrasta amb la mida real del buffer rebut.
Un mòdem que declari port_count=65535 dins d’un buffer de només 12 bytes obliga el driver a iterar molt més enllà de les dades que realment han arribat. El resultat és una lectura slab-out-of-bounds de fins a 262140 bytes de memòria contigua del kernel. Aquesta memòria pot contenir dades d’altres estructures del sistema, així que el defecte obre la porta a una fuita d’informació del kernel.
A qui afecta
Afecta sistemes Linux amb el driver t7xx compilat i un mòdem MediaTek T7xx connectat. El trobaràs sobretot en portàtils amb WWAN 5G integrada i en alguns equips encastats amb connectivitat cel·lular. El vector d’atac és el mateix firmware del mòdem: si un atacant controla o substitueix aquest firmware, o connecta maquinari manipulat, pot provocar la lectura fora de límits. No és explotable des d’una pàgina web ni des de la xarxa IP normal, sinó des del costat del mòdem.
La gravetat alta (8.8) reflecteix que l’exposició de memòria del kernel es pot combinar amb altres tècniques per escalar privilegis o saltar-se mitigacions com KASLR.
Mitigació i pegat
L’arranjament va entrar a mainline abans de la divulgació pública i s’està retroportant a les branques estables. El pegat valida la mida del buffer abans de llegir les capçaleres del missatge de ports, fa servir struct_size() per comprovar que hi ha prou dades un cop extret port_count, i afegeix comprovacions equivalents a t7xx_parse_host_rt_data() en llegir les capçaleres de rt_feature.
Què cal fer:
- Actualitza el kernel a una versió que inclogui el fix. Les distribucions principals estan publicant paquets corregits; revisa els avisos de seguretat de la teva.
- Si no fas servir WWAN MediaTek, pots descarregar el mòdul (
rmmod mtk_t7xx) o evitar-ne la càrrega via blacklist fins a tenir el pegat. - En entorns on el firmware del mòdem provingui d’un origen no fiable, tracta’l com a superfície d’atac.
Pots consultar les versions suportades i el cicle de vida del kernel a la nostra fitxa de Linux kernel.
Font
- Tenable — CVE-2026-43495: https://www.tenable.com/cve/CVE-2026-43495
- NVD — CVE-2026-43495: https://nvd.nist.gov/vuln/detail/CVE-2026-43495