CVE-2026-31395 CVSS 7.1 高危

CVE-2026-31395: Linux内核bnxt_en驱动越界访问漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31395

漏洞类型

内存越界访问

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的bnxt_en驱动程序存在严重的越界访问漏洞。该漏洞源于处理DBG_BUF_PRODUCER异步事件时，驱动程序直接使用了固件提供的未经验证的16位'type'字段作为数组索引。攻击者若能控制网卡（如恶意或受损的NIC），可发送特定值触发内核堆内存越界访问，导致系统崩溃或内存数据被破坏。

技术细节

该漏洞位于Linux内核网络驱动 `bnxt_en` 的 `bnxt_async_event_process` 函数中。当驱动处理 `ASYNC_EVENT_CMPL_EVENT_ID_DBG_BUF_PRODUCER` 事件时，会从DMA映射的完成环内存中读取一个16位的 'type' 字段。由于代码未对该字段进行边界验证，直接将其作为索引访问 `bp->bs_trace[]` 数组，而该数组的大小远小于65535。随后，代码调用 `bnxt_bs_trace_check_wrap()`，该函数会解引用 `bs_trace->magic_byte` 并写入 `bs_trace->last_offset` 和 `bs_trace->wrapped`。因此，恶意或受损的网卡固件可以通过向主机内存写入任意0-65535的值，触发越界读写，导致内核堆内存损坏或系统崩溃。修复方案引入了 `BNXT_TRACE_MAX` 宏定义，并在使用 'type' 前添加了严格的边界检查。

攻击链分析

STEP 1

步骤1：获取固件控制权

攻击者通过物理接触或利用其他漏洞获取网卡（NIC）固件的修改权限。

STEP 2

步骤2：构造恶意数据

攻击者修改固件，使其在发送 ASYNC_EVENT_CMPL_EVENT_ID_DBG_BUF_PRODUCER 事件时，将 'type' 字段设置为一个超大值（如 65535），超出合法数组范围。

STEP 3

步骤3：触发DMA写入

恶意网卡将包含恶意 'type' 值的事件数据包通过DMA直接写入主机内存的完成环。

STEP 4

步骤4：驱动处理越界

主机上的 bnxt_en 驱动程序读取事件，直接使用未经验证的 'type' 值作为索引访问 bs_trace 数组。

STEP 5

步骤5：内存破坏

驱动程序对非法内存地址进行读写操作，导致内核堆内存损坏，引发系统崩溃或潜在的安全绕过。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-31395
 * This code simulates the vulnerable logic in the kernel driver.
 * In a real scenario, the 'type' value comes from a malicious NIC.
 */

#include <stdio.h>
#include <stdint.h>

#define BNXT_TRACE_MAX 13 // 0x0 to 0xc (Fixed size)

// Simulating the structure in kernel memory
struct bnxt_bs_trace {
    uint32_t magic_byte;
    uint32_t last_offset;
    uint32_t wrapped;
};

// Simulated vulnerable function logic
void vulnerable_handler(uint16_t type, struct bnxt_bs_trace *bp_bs_trace) {
    printf("[VULNERABLE] Received event with type: %d\n", type);
    
    // VULNERABILITY: No bounds check on 'type' before using it as an index
    // If type is 0xFFFF, this accesses memory way outside the array bounds
    struct bnxt_bs_trace *bs_trace = &bp_bs_trace[type]; 

    // This leads to out-of-bounds write/corruption
    bs_trace->last_offset = 0xDEADBEEF; 
    bs_trace->wrapped = 1;

    printf("[CRASH] Writing to address %p (Out of Bounds!)\n", bs_trace);
}

int main() {
    // Allocate a small buffer to simulate bp->bs_trace[]
    struct bnxt_bs_trace *trace_buffer = (struct bnxt_bs_trace*)malloc(sizeof(struct bnxt_bs_trace) * BNXT_TRACE_MAX);
    
    // Simulate a malicious NIC sending a large 'type' value (e.g., 65535)
    uint16_t malicious_type = 65535;
    
    // Trigger the vulnerability
    vulnerable_handler(malicious_type, trace_buffer);
    
    free(trace_buffer);
    return 0;
}

影响范围

Linux Kernel (受影响版本)

防御指南

临时缓解措施

在无法立即更新内核的情况下，应确保物理环境安全，防止攻击者接触并篡改网卡固件。同时，监控驱动日志中是否有异常的DBG_BUF_PRODUCER事件，这可能表明网卡行为异常。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表