CVE-2026-23442 CVSS 5.5 中危

CVE-2026-23442 Linux内核IPv6空指针解引用漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23442

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核IPv6模块中存在空指针解引用漏洞。在处理SRv6路径时，若设备IPv6配置无效（如MTU过小或设备已注销），`__in6_dev_get()`可能返回NULL。由于`seg6_hmac_validate_skb()`和`ipv6_srh_rcv()`未校验返回值，直接解引用会导致内核崩溃，引发本地拒绝服务。

技术细节

该漏洞源于Linux内核网络子系统对IPv6设备指针处理不当。在`seg6_hmac_validate_skb()`和`ipv6_srh_rcv()`函数中，调用`__in6_dev_get()`获取设备IPv6配置指针`idev`。当网络接口MTU小于`IPV6_MIN_MTU`或在`NETDEV_UNREGISTER`事件后，该函数返回NULL。由于代码缺失`if (!idev)`检查，后续访问`idev`成员时触发空指针解引用。攻击者需具备本地低权限，通过特定网络配置或数据包触发，可导致系统Kernel Panic，破坏可用性。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限账户访问权限。

STEP 2

步骤2

攻击者识别系统运行受影响版本的Linux内核。

STEP 3

步骤3

攻击者操纵网络接口状态（如降低MTU至1280以下）或等待设备注销。

STEP 4

步骤4

攻击者发送特制的IPv6数据包（包含SRv6头）以触发受影响的内核函数。

STEP 5

步骤5

内核执行空指针解引用，导致系统崩溃（Kernel Panic）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-23442
 * This is a conceptual demonstration. Triggering requires a specific kernel environment.
 * Logic: Attempt to trigger SRv6 processing on an interface with invalid IPv6 config.
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/if.h>
#include <arpa/inet.h>

int main() {
    // Note: Actual exploitation requires setting up a network interface
    // with MTU < IPV6_MIN_MTU (e.g., 1200) and sending SRv6 traffic.
    // This code simulates the user-space part of sending crafted traffic.

    int sockfd;
    struct sockaddr_in6 addr;

    sockfd = socket(AF_INET6, SOCK_RAW, IPPROTO_RAW);
    if (sockfd < 0) {
        perror("socket");
        return 1;
    }

    // Target a local interface (assumed to be configured or misconfigured)
    memset(&addr, 0, sizeof(addr));
    addr.sin6_family = AF_INET6;
    inet_pton(AF_INET6, "::1", &addr.sin6_addr);

    // In a real exploit, one would craft a packet with Segment Routing Header (SRH)
    // to trigger ipv6_srh_rcv() or seg6_hmac_validate_skb().
    // The vulnerability triggers if the interface has no valid IPv6 config (idev is NULL).

    printf("Sending crafted packet to trigger potential NULL pointer dereference...\n");
    // sendto(sockfd, buffer, len, 0, (struct sockaddr*)&addr, sizeof(addr));

    close(sockfd);
    return 0;
}

影响范围

Linux Kernel (受影响版本请参考Git提交记录)

防御指南

临时缓解措施

如果无法立即升级，建议限制非特权用户对网络配置的访问权限，或在非必要场景下禁用IPv6或SRv6功能以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表