CVE-2022-49882 [高] | Use-After-Free（Linux Kernel）

In the Linux kernel, the following vulnerability has been resolved: KVM: Reject attempts to consume or refresh inactive gfn_to_pfn_cache Reject kvm_gpc_check() and kvm_gpc_refresh() if the cache is inactive. Not checking the active flag during refresh is particularly egregious, as KVM can end up with a valid, inactive cache, which can lead to a variety of use-after-free bugs, e.g. consuming a NULL kernel pointer or missing an mmu_notifier invalidation due to the cache not being on the list of gfns to invalidate. Note, "active" needs to be set if and only if the cache is on the list of caches, i.e. is reachable via mmu_notifier events. If a relevant mmu_notifier event occurs while the cache is "active" but not on the list, KVM will not acquire the cache's lock and so will not serailize the mmu_notifier event with active users and/or kvm_gpc_refresh(). A race between KVM_XEN_ATTR_TYPE_SHARED_INFO and KVM_XEN_HVM_EVTCHN_SEND can be exploited to trigger the bug. 1. Deactivate shinfo cache: kvm_xen_hvm_set_attr case KVM_XEN_ATTR_TYPE_SHARED_INFO kvm_gpc_deactivate kvm_gpc_unmap gpc->valid = false gpc->khva = NULL gpc->active = false Result: active = false, valid = false 2. Cause cache refresh: kvm_arch_vm_ioctl case KVM_XEN_HVM_EVTCHN_SEND kvm_xen_hvm_evtchn_send kvm_xen_set_evtchn kvm_xen_set_evtchn_fast kvm_gpc_check return -EWOULDBLOCK because !gpc->valid kvm_xen_set_evtchn_fast return -EWOULDBLOCK kvm_gpc_refresh hva_to_pfn_retry gpc->valid = true gpc->khva = not NULL Result: active = false, valid = true 3. Race ioctl KVM_XEN_HVM_EVTCHN_SEND against ioctl KVM_XEN_ATTR_TYPE_SHARED_INFO: kvm_arch_vm_ioctl case KVM_XEN_HVM_EVTCHN_SEND kvm_xen_hvm_evtchn_send kvm_xen_set_evtchn kvm_xen_set_evtchn_fast read_lock gpc->lock kvm_xen_hvm_set_attr case KVM_XEN_ATTR_TYPE_SHARED_INFO mutex_lock kvm->lock kvm_xen_shared_info_init kvm_gpc_activate gpc->khva = NULL kvm_gpc_check [ Check passes because gpc->valid is still true, even though gpc->khva is already NULL. ] shinfo = gpc->khva pending_bits = shinfo->evtchn_pending CRASH: test_and_set_bit(..., pending_bits)

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	0.29%	0.16%	-0.13%
2	2026-06-09	0.08%	0.29%	+0.21%
3	2026-02-25	—	0.08%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

0.29%

0.16%

-0.13%

2026-06-09

0.08%

0.29%

+0.21%

2026-02-25

—

0.08%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
7.8	3.1	HIGH	`CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H` クリックして展開攻撃ベクター (AV:L) 対象ホスト上でコードを実行できること、または別ユーザーの誤操作・悪意ある操作が前提になる。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:L) 一般ユーザー権限があれば足り、管理者（root 相当）は不要。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。	1.8	5.9	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

7.8

3.1

HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H クリックして展開

攻撃ベクター (AV:L): 対象ホスト上でコードを実行できること、または別ユーザーの誤操作・悪意ある操作が前提になる。
攻撃の複雑さ (AC:L): 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:L): 一般ユーザー権限があれば足り、管理者（root 相当）は不要。
ユーザーの関与 (UI:N): メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H): 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H): 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

1.8

5.9

[email protected]

CVE-2022-49882 の OS トラッカー

vendor	priority	summary	link
`debian`	unimportant	CVE-2022-49882 unimportant priority: Debian including 1 source packages (linux), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5.	https://security-tracker.debian.org/tracker/CVE-2022-49882
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2022-49882
`suse`	medium	CVE-2022-49882 severity moderate: SUSE including 55 source package names (bpftool-7.2.0-362.8.1.el9_3, cluster-md-kmp-default, …), 293 product×package rows across 52 product lines (SLES-LTSS-TERADATA 15 SP2, SUSE Liberty Linux 9, … (52 product lines)): Known Not Affected 264, Fixed 29.	https://www.suse.com/security/cve/CVE-2022-49882/
`ubuntu`	medium	CVE-2022-49882 medium priority: Ubuntu including 144 source packages (linux, linux-allwinner-5.19, …), 1285 status rows across 9 suites (bionic, focal, jammy, noble, oracular, plucky, trusty, upstream, xenial): DNE 921, ignored 146, not-affected 140, released 78.	https://ubuntu.com/security/CVE-2022-49882

CVE-2022-49882 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
linux	linux_kernel	>= 5.17, < 6.0.8	cpe:2.3:o:linux:linux_kernel::::::::
linux	linux_kernel	6.1	cpe:2.3:o:linux:linux_kernel:6.1:rc1::::::
linux	linux_kernel	6.1	cpe:2.3:o:linux:linux_kernel:6.1:rc2::::::
linux	linux_kernel	6.1	cpe:2.3:o:linux:linux_kernel:6.1:rc3::::::

CVE-2022-49882 の参考情報

URL	タグ
https://git.kernel.org/stable/c/bfa9672f8fc9eb118124bab61899d2dd497f95ba	Patch
https://git.kernel.org/stable/c/ecbcf030b45666ad11bc98565e71dfbcb7be4393	Patch

URL

タグ

https://git.kernel.org/stable/c/bfa9672f8fc9eb118124bab61899d2dd497f95ba

Patch

https://git.kernel.org/stable/c/ecbcf030b45666ad11bc98565e71dfbcb7be4393

Patch

CVE-2022-49882 | KVM: Reject attempts to consume or refresh inactive gfn_to_pfn_cache

CVE-2022-49882 の EPSS（Exploit Prediction Scoring System）スコア

CVE-2022-49882 の CVSS（Common Vulnerability Scoring System）指標

CVE-2022-49882 の弱点分類（列挙）

CVE-2022-49882 の OS トラッカー

CVE-2022-49882 の影響を受けるソフトウェア／構成

CVE-2022-49882 の参考情報