CVE-2026-23325 CVSS 7.1 高危

CVE-2026-23325 Linux内核mt7996驱动越界访问漏洞

披露日期: 2026-03-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23325

漏洞类型

越界访问

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (mt76 mt7996驱动)

漏洞概述

Linux内核中的mt76驱动程序（特别是mt7996芯片组驱动）存在一个安全漏洞。在`mt7996_mac_write_txwi_80211`函数中，由于未正确检查帧长度，导致在访问管理字段时可能发生越界访问。该漏洞可能被本地低权限用户利用，导致系统机密性泄露或拒绝服务攻击。

技术细节

该漏洞源于Linux内核Mediatek MT76无线驱动程序中`mt7996_mac_write_txwi_80211`函数的逻辑缺陷。当驱动程序处理802.11数据帧，特别是管理帧时，代码尝试访问帧结构中的特定字段以填充TXWI（传输写入信息）。然而，在访问这些字段之前，代码未能充分验证输入帧的总长度。因此，如果攻击者通过本地接口发送一个恶意构造的、长度不足的802.11帧，驱动程序在计算偏移量时会产生越界（OOB）访问。这可能导致读取非法内存地址引发内核崩溃（DoS），或在特定条件下泄露内核内存中的敏感信息。由于攻击需要本地访问（AV:L）且无需用户交互，低权限用户即可触发此漏洞。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的本地低权限用户访问权限。

STEP 2

步骤2

攻击者识别系统使用的是带有mt7996驱动的Linux内核，且版本受影响。

STEP 3

步骤3

攻击者构造一个特制的、长度不足的802.11管理帧。

STEP 4

步骤4

攻击者利用无线接口发送该恶意帧。

STEP 5

步骤5

内核驱动处理该帧时，在mt7996_mac_write_txwi_80211函数中发生越界内存读取。

STEP 6

步骤6

导致系统内核崩溃（可用性影响）或敏感内存信息泄露（机密性影响）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-23325: mt7996_mac_write_txwi_80211 OOB Access
 * This is a conceptual PoC to demonstrate triggering the vulnerability.
 * It requires a system with the vulnerable mt7996 driver loaded.
 */

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/if.h>
#include <linux/wireless.h>

// Function to simulate sending a crafted frame
void send_crafted_frame() {
    int sock;
    struct sockaddr_nl sa;
    char msg_buffer[1024];
    
    // In a real scenario, this would interact with nl80211 to inject frames
    // Here we simulate the condition of a short frame causing OOB access
    printf("[+] Attempting to trigger OOB in mt7996_mac_write_txwi_80211...\n");
    
    // Malicious frame structure: Short length to bypass length checks
    // but trigger access to mgmt fields beyond the buffer.
    unsigned char malicious_frame[10] = {0}; 
    
    // Logic to send frame would go here (e.g., via monitor mode injection)
    printf("[!] Frame sent. If vulnerable, kernel may crash or leak data.\n");
}

int main() {
    send_crafted_frame();
    return 0;
}

影响范围

Linux Kernel (mt76: mt7996 driver before patch 45661d22639c4b747ef1bd0822b8e76e421a808a)

防御指南

临时缓解措施

如果无法立即升级内核，建议暂时禁用MT7996无线网卡驱动模块（rmmod mt7996），或者严格限制本地用户权限，防止非信任用户执行代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表