CVE-2026-23428 CVSS 9.8 严重

CVE-2026-23428: Linux内核ksmbd释放后重用漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23428

漏洞类型

释放后重用

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的ksmbd模块存在一个释放后重用漏洞。在处理复合请求时，smb2_get_ksmbd_tcon()函数复用work->tcon而未验证tcon->t_state状态。如果在复合请求中，前一个命令（如SMB2_TREE_DISCONNECT）将t_state设置为TREE_DISCONNECTED并通过ksmbd_share_config_put()释放了share_conf，随后的命令会通过work->tcon->share_conf引用已释放的内存。该漏洞可能导致系统崩溃或潜在的权限提升，攻击者无需身份认证即可通过网络触发此漏洞。

技术细节

该漏洞源于Linux内核ksmbd驱动对复合请求处理逻辑中的竞态条件与状态验证缺失。在SMB2协议处理中，复合请求允许在一个TCP连接中发送多个命令。smb2_get_ksmbd_tcon()函数在处理后续命令时，直接复用缓存中的work->tcon结构体指针，跳过了ksmbd_tree_conn_lookup()中原本存在的t_state == TREE_CONNECTED状态检查。当攻击者构造包含SMB2_TREE_DISCONNECT和后续读写操作的复合请求时，断开连接的操作会将tcon->t_state标记为断开，并调用kfree释放tcon->share_conf指向的内存。由于后续命令未检查状态，继续访问该已释放的内存指针（Use-After-Free），导致内核崩溃或潜在的任意代码执行。KASAN报告显示错误发生在smb2_write函数中，读取已释放的share_conf对象。

攻击链分析

STEP 1

步骤1

攻击者通过网络向目标Linux主机的445端口（SMB服务）发起连接请求。

STEP 2

步骤2

建立SMB会话并进行Tree Connect，连接到共享资源。

STEP 3

步骤3

攻击者构造并发送一个恶意的复合请求，该请求包含SMB2_TREE_DISCONNECT命令和紧随其后的SMB2_WRITE命令。

STEP 4

步骤4

内核处理SMB2_TREE_DISCONNECT命令，将tcon状态设置为TREE_DISCONNECTED并释放share_conf内存。

STEP 5

步骤5

内核处理同一复合请求中的SMB2_WRITE命令，由于smb2_get_ksmbd_tcon()未验证状态，直接引用已被释放的share_conf，导致内核崩溃或代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-23428: ksmbd Use-After-Free
This script demonstrates the logic to trigger the vulnerability by sending
a compound request containing SMB2_TREE_DISCONNECT followed by SMB2_WRITE.
"""

import socket
import struct

def send_exploit(target_ip):
    """
    Sends a malicious compound request to the target ksmbd server.
    """
    # Setup socket connection to SMB port (445)
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((target_ip, 445))
        print(f"[+] Connected to {target_ip}:445")

        # Note: In a real scenario, full SMB negotiation and session setup
        # would be performed here. This PoC focuses on the payload structure.

        # Construct Compound Request:
        # 1. SMB2_TREE_DISCONNECT (Frees share_conf)
        # 2. SMB2_WRITE (Attempts to use freed share_conf)
        # The vulnerability occurs because the second command reuses the
        # work->tcon pointer without checking if it was disconnected by the first.
        
        payload = b""
        # SMB2 Header for TREE_DISCONNECT
        # ... (Header bytes) ...
        
        # SMB2 Header for WRITE (Chained)
        # ... (Header bytes) ...

        s.send(payload)
        print("[+] Malicious compound request sent.")
        print("[+] Check target kernel logs for KASAN use-after-free detection.")
        
        s.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Replace with actual target IP
    TARGET = "192.168.1.10"
    send_exploit(TARGET)

影响范围

Linux Kernel (ksmbd) < 6.8-rc1 (Patches apply to stable branches)

防御指南

临时缓解措施

建议立即应用Linux内核官方发布的补丁进行修复。如果无法立即重启更新，可以临时卸载ksmbd模块（rmmod ksmbd）以阻断攻击面，同时确保网络防火墙规则严格限制对SMB端口（TCP 445）的访问，仅允许可信IP连接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表