IPBUF安全漏洞报告
English
CVE-2026-23306 CVSS 7.8 高危

CVE-2026-23306 Linux内核pm8001双重释放漏洞

披露日期: 2026-03-25
来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号
CVE-2026-23306
漏洞类型
Use-after-free / Double Free
CVSS评分
7.8 高危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Linux Kernel

相关标签

Linux KernelUse-after-freeDouble FreeSCSIPrivilege Escalationpm8001

漏洞概述

Linux内核中的pm8001驱动存在双重释放漏洞。该漏洞源于pm8001_queue_command函数在设备离线时的处理逻辑错误。当检测到phy down或device gone状态时,函数内部已释放SAS任务并标记完成,但错误返回-ENODEV。导致上层调用者误判任务未处理而再次释放内存,引发内核崩溃或潜在权限提升。

技术细节

该漏洞由Linux内核SCSI子系统pm8001驱动的重构引入。在pm8001_queue_command函数中,当物理链路断开或设备不可用时,驱动程序会调用task_done(t)释放SAS任务结构体,随后返回-ENODEV错误码。然而,上层函数sas_ata_qc_issue在接收到-ENODEV时,认为底层驱动未接管该任务,因此执行清理流程并再次调用kfree释放同一任务指针。这种重复释放同一内存区域的行为破坏了内核堆管理,可能导致Use-After-Free,本地低权限攻击者可利用此漏洞提升权限或造成系统拒绝服务。

攻击链分析

STEP 1
步骤1
攻击者获取本地低权限用户访问权限,目标系统使用包含漏洞的Linux内核且配备pm8001控制器。
STEP 2
步骤2
攻击者触发SCSI/SATA指令执行路径,并诱导设备进入PHY down或device gone状态(如通过特定IO操作或硬件模拟)。
STEP 3
步骤3
pm8001_queue_command函数检测到异常状态,内部释放SAS任务内存但错误返回-ENODEV。
STEP 4
步骤4
上层函数sas_ata_qc_issue接收到错误码,误以为任务未被处理,再次释放同一块内存。
STEP 5
步骤5
发生双重释放导致内核堆破坏,攻击者利用此内存破坏实现提权或导致系统崩溃。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
/* * PoC Concept for CVE-2026-23306 * Triggering the double free requires specific hardware or emulation. * This snippet simulates the logic flow leading to the crash. */ #include <linux/module.h> #include <scsi/scsi_host.h> void simulate_vulnerability_flow(struct pm8001_hba_info *pm8001_ha) { struct sas_task *task = kmalloc(sizeof(*task), GFP_KERNEL); // Simulate PHY down or device gone state int device_state = DEVICE_GONE; // Inside pm8001_queue_command logic (vulnerable path) if (device_state == DEVICE_GONE) { task->task_state_flags = SAS_TASK_STATE_DONE; // The driver frees the task here kfree(task); // Returns error instead of 0, triggering the bug return -ENODEV; } } // Caller (sas_ata_qc_issue) logic void caller_logic(int ret, struct sas_task *task) { if (ret == -ENODEV) { // Caller assumes task wasn't handled and tries to free it again // DOUBLE FREE occurs here kfree(task); } }

影响范围

Linux Kernel (包含commit e29c47fe8946的版本)

防御指南

临时缓解措施
建议立即更新系统内核。对于无法立即重启更新的系统,应严格限制本地用户权限,减少对SCSI设备的非必要访问操作,并监控系统内核日志以防异常。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表