CVE-2026-31401 CVSS 7.8 高危

CVE-2026-31401 Linux内核HID-BPF缓冲区溢出漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31401

漏洞类型

缓冲区溢出

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的HID-BPF子系统存在一个缓冲区溢出漏洞。该漏洞源于hid_hw_request函数未正确验证dispatch_hid_bpf_raw_requests的返回值。由于该返回值可能来自不受信任的BPF程序（通过struct_ops调用），攻击者可构造一个过大的数值，导致内核缓冲区溢出。此漏洞允许低权限的本地攻击者利用该缺陷提升权限或导致系统崩溃。

技术细节

该漏洞位于Linux内核的HID（人机接口设备）子系统中，特别是与HID-BPF相关的代码路径。在正常流程中，hid_hw_request用于处理HID设备的请求。问题出在代码直接使用了dispatch_hid_bpf_raw_requests函数的返回值作为缓冲区大小或索引，而没有进行边界检查。由于HID-BPF允许用户加载BPF程序来处理HID事件，这些程序可以通过struct_ops接口返回任意整数值。如果恶意BPF程序返回一个异常大的数值，内核后续的数据拷贝操作将越界写入内存，从而破坏内核数据结构。由于攻击向量为本地（AV:L）且无需用户交互（UI:N），拥有低权限（PR:L）的攻击者只需加载恶意BPF程序并触发HID请求，即可利用此漏洞实现本地权限提升（LPE）或拒绝服务（DoS）。

攻击链分析

STEP 1

步骤1

攻击者获取目标Linux系统的低权限用户访问权限。

STEP 2

步骤2

攻击者编写恶意的BPF程序，该程序在struct_ops回调中返回一个异常大的数值。

STEP 3

步骤3

攻击者利用HID-BPF接口将恶意程序加载到内核空间。

STEP 4

步骤4

攻击者触发HID硬件请求，调用存在漏洞的hid_hw_request函数。

STEP 5

步骤5

函数直接使用恶意返回值作为缓冲区大小，导致缓冲区溢出。

STEP 6

步骤6

内核内存被破坏，攻击者可能获得Root权限或导致系统内核崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// SPDX-License-Identifier: GPL-2.0
#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

// Simplified context structure for demonstration
struct hid_bpf_ctx {
	__u8 data[256];
	__u allocated_size;
};

// This struct_ops triggers the vulnerability
SEC("struct_ops/hid_hw_request")
int BPF_PROG(trigger_overflow, struct hid_bpf_ctx *hctx) {
    // Return an arbitrarily large value to bypass size checks
    // This value is used in hid_hw_request without validation
    return 0xFFFFFFFF; 
}

char _license[] SEC("license") = "GPL";

影响范围

Linux Kernel (修复前的多个稳定版本)

防御指南

临时缓解措施

建议立即更新Linux内核到包含提交2b658c1c442ec1cd9eec5ead98d68662c40fe645及相关修复的版本。如果无法立即升级，应严格限制系统中对BPF程序的加载权限，特别是针对非特权用户，并监控HID-BPF模块的异常使用情况。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表