CERT Polska opublikował informacje o podatności CVE-2026-14461 w narzędziu mtr, służącym do diagnostyki połączeń sieciowych. Luka dotyczy funkcji ipinfo_lookup() i pozwala na przeprowadzenie ataku typu out-of-bound read.

Atak można zrealizować poprzez wysłanie odpowiedzi DNS o rozmiarze przekraczającym 512 bajtów zawierającej specjalnie spreparowany wskaźnik kompresji. Działa to na zasadzie manipulacji danymi używanymi przez funkcję dn_expand(), co może spowodować awarię procesu mtr. Podatność występuje w wersjach mtr do 0.96 włącznie.

Autorem zgłoszenia były osoby z zespołu AFINE. Poprawka została już wdrożona w repozytorium projektu — użytkownicy powinni zaktualizować mtr do wersji zawierającej commit 48e1794414d338ce47abc0f27c25ade8788af9c3 lub nowszej.


Źródło: CERT Polska