ID del boletín: 2026-022-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 29/04/2026 11:45 h PDT
 

Descripción:

FreeRTOS-Plus-TCP es una pila TCP/IP escalable y de código abierto para FreeRTOS. Identificamos el error CVE-2026-7424, donde un problema de subdesbordamiento de enteros en el analizador de subopciones de DHCPv6 podría permitir a un usuario de la red adyacente corromper la asignación de direcciones IPv6 del dispositivo, la configuración de DNS y los tiempos de concesión, y provocar una denegación de servicio (bloqueo de la tarea IP que requiere reinicio del hardware).

Versiones afectadas: FreeRTOS-Plus-TCP desde la versión 4.0.0 hasta la 4.2.5, y desde la versión 4.3.0 hasta la 4.4.0

Resolución:

Este problema ha sido abordado en las versiones 4.4.1 y 4.2.6 de FreeRTOS-Plus-TCP. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

Los usuarios que no puedan realizar una actualización inmediata pueden desactivar DHCPv6 si establecen ipconfigUSE_DHCPv6 en 0 en sus archivos de configuración FreeRTOSIPConfig.h. Tenga en cuenta que esta solución alternativa requiere la configuración manual de las direcciones IPv6.

Referencias:

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

Reconocimiento:

Nos gustaría agradecer al investigador de seguridad @Eun0us | Espilon por colaborar en este problema a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.