CVE-2026-23281 CVSS 7.8 高危

CVE-2026-23281 Linux内核libertas驱动UAF漏洞

披露日期: 2026-03-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23281

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的libertas WiFi驱动程序存在释放后重用漏洞。在lbs_free_adapter()函数中，使用了timer_delete()来删除定时器，但该函数是非同步的，不会等待正在运行的回调函数结束。如果在定时器回调执行期间调用lbs_free_adapter()，lbs_cfg_free()会立即释放包含定时器结构体的内存，导致回调函数访问已释放的内存，引发UAF漏洞。该漏洞可能导致本地低权限用户提升权限或导致系统崩溃。

技术细节

该漏洞源于Linux内核libertas驱动在清理适配器结构体时的竞态条件。lbs_free_adapter()函数负责释放资源，它调用了timer_delete()来停止command_timer和tx_lockup_timer。然而，timer_delete()仅将定时器从内核队列中移除，并不保证当前正在执行的回调函数（如lbs_cmd_timeout_handler或lbs_tx_lockup_handler）已经完成。当这些回调函数仍在执行时，lbs_cfg_free()紧接着释放了私有结构体（priv）。由于回调函数内部会访问priv->driver_lock、priv->cur_cmd和priv->dev等成员，此时访问已释放的内存会导致内核崩溃或潜在的代码执行。漏洞引入于提交8f641d93c38a，当时使用了del_timer()而非del_timer_sync()。攻击者需要本地低权限访问权限，通过特定的操作触发定时器回调与释放流程的竞争，从而利用此漏洞。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限（PR:L）。

STEP 2

步骤2

攻击者触发libertas无线网卡驱动的操作，激活定时器（command_timer或tx_lockup_timer）。

STEP 3

步骤3

攻击者精心构造时序，在定时器回调函数正在执行期间，触发驱动卸载或设备断开操作。

STEP 4

步骤4

系统执行lbs_free_adapter()，调用timer_delete()后立即释放内存结构体。

STEP 5

步骤5

定时器回调函数继续访问已释放的内存（priv->driver_lock等），导致内核崩溃或执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-23281
 * This demonstrates the race condition logic.
 * It is not a full exploit but illustrates the vulnerability.
 */

#include <linux/module.h>
#include <linux/timer.h>

struct mock_device {
    struct timer_list cleanup_timer;
    int data;
};

// Simulate the timer callback accessing device data
void device_timer_callback(struct timer_list *t) {
    struct mock_device *dev = from_timer(dev, t, cleanup_timer);
    // Vulnerability point: Accessing dev after potential free
    printk(KERN_INFO "Accessing device data: %d\n", dev->data);
}

// Simulate the vulnerable cleanup function
void vulnerable_cleanup(struct mock_device *dev) {
    // VULNERABILITY: Using timer_delete (non-sync)
    // If the callback is running here, it continues.
    timer_delete(&dev->cleanup_timer);

    // Free the structure immediately
    // If callback is still running, it will use freed memory (UAF)
    kfree(dev);
    printk(KERN_INFO "Device freed (Race condition possible)\n");
}

// Correct fix: Use timer_delete_sync
void fixed_cleanup(struct mock_device *dev) {
    // FIX: Wait for callback to finish
    timer_delete_sync(&dev->cleanup_timer);
    kfree(dev);
}

影响范围

Linux Kernel (包含commit 8f641d93c38a及之后版本，直至修复补丁发布前)

防御指南

临时缓解措施

建议限制非特权用户对系统内核模块的加载与卸载权限，或者暂时禁用受影响的libertas无线网卡驱动，直至完成内核升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表