CVE-2026-23399 CVSS 5.5 中危

CVE-2026-23399: Linux内核nf_tables内存泄漏漏洞

披露日期: 2026-03-28

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23399

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux kernel

漏洞概述

Linux内核中的nf_tables组件存在内存泄漏漏洞。在nft_dynset模块的错误处理路径中，如果使用GFP_ATOMIC克隆第二个状态表达式失败，第一个状态表达式将未被释放而残留。这可能导致系统内存资源逐渐耗尽，从而影响系统稳定性，特别是在频繁处理网络数据包的场景下，攻击者可利用此缺陷造成拒绝服务。

技术细节

该漏洞位于Linux内核的netfilter子系统，具体涉及nftables的动态集（dynset）功能。当动态集处理包含多个状态表达式的元素时，系统会尝试克隆这些表达式。漏洞触发点在于`nft_dynset_new`函数调用`nft_expr_clone`进行克隆操作时。由于原子上下文（GFP_ATOMIC）的内存分配限制，克隆第二个状态表达式可能失败。在错误处理逻辑中，代码仅返回错误，未对已成功克隆的第一个状态表达式调用释放函数，导致该内存块泄漏。攻击者可通过发送特制的网络流量触发该路径，利用软中断上下文反复触发此错误，导致per-cpu内存持续泄漏，最终耗尽系统内存并导致系统崩溃或拒绝服务。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获得本地低权限访问权限 (PR:L)。

STEP 2

2. 触发漏洞

攻击者发送特制网络包或调用nftables规则，触发nft_dynset处理路径。

STEP 3

3. 诱导内存分配失败

在原子上下文(GFP_ATOMIC)中，通过系统内存压力诱导克隆第二个状态表达式失败。

STEP 4

4. 内存泄漏

错误处理路径未释放第一个已克隆的表达式，导致per-cpu内存泄漏。

STEP 5

5. 拒绝服务

反复触发此过程导致系统内存耗尽，造成系统崩溃或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC Concept: Trigger nft_dynset memory leak
# Requires vulnerable kernel version and nftables installed.

# Add a table
nft add table ip filter

# Add a chain
nft add chain ip filter input { type filter hook input priority 0 \; }

# Create a set with dynamic update (dynset)
# This attempts to add elements dynamically.
# If the kernel fails to clone a 2nd stateful expr during an update, the leak occurs.
# Reproducing requires inducing memory pressure or specific internal state.
nft add rule ip filter input update @my_set { ip saddr limit rate 10/second } counter

echo "Rule added. Under memory pressure or specific packet flow, this may trigger CVE-2026-23399."
# Monitor kernel logs: dmesg | grep -i "unreferenced object"

影响范围

Linux Kernel (修复提交: 0548a13b5a14, 31641c682db7, c88a9fd26cee, d1354873cbe3, e6661add2d9c)

防御指南

临时缓解措施

建议立即更新系统内核至最新版本以修复此内存泄漏漏洞。若无法立即更新，应限制本地用户对网络过滤规则的配置能力，并监控系统内存使用情况。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表