ID do boletim: 2026-022-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 29/04/2026 11:45 PDT
 

Descrição:

O FreeRTOS-Plus-TCP é uma pilha TCP/IP de código aberto e escalável para o FreeRTOS. Identificamos a vulnerabilidade CVE-2026-7424, em que um problema de subfluxo de inteiros no analisador de subopções do DHCPv6 poderia permitir que um usuário de uma rede adjacente corrompesse a atribuição do endereço IPv6 do dispositivo, a configuração do DNS e os tempos de concessão, além de causar uma negação de serviço (congelamento da tarefa de IP exigindo reinicialização do hardware).

Versões afetadas: FreeRTOS-Plus-TCP >=V4.0.0 E <=V4.2.5, >=V4.3.0 E <= V4.4.0

Resolução:

Esse problema foi resolvido no FreeRTOS-Plus-TCP versões V4.4.1 e V4.2.6. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Os usuários que não puderem fazer upgrade imediatamente podem desabilitar o DHCPv6 definindo ipconfigUSE_DHCPv6 como 0 no arquivo de configuração FreeRTOSIPConfig.h. Observe que essa solução alternativa requer a configuração manual do endereço IPv6.

Referências:

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

Agradecimentos:

Gostaríamos de agradecer ao pesquisador de segurança @Eun0us | Espilon por colaborar nesse problema por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.