CVE-2026-31544 CVSS 5.5 中危

CVE-2026-31544: Linux内核arm_scmi空指针解引用漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31544

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的ARM SCMI固件驱动中存在一个空指针解引用漏洞。该漏洞源于__scmi_event_handler_get_ops辅助函数在错误路径下返回NULL指针而非ERR_PTR，导致系统在尝试访问该指针时发生崩溃。具有本地低权限的攻击者可利用此漏洞触发内核崩溃，从而造成拒绝服务。

技术细节

该漏洞位于Linux内核的`firmware: arm_scmi`组件中。由于提交b5daf93b809d1引入的变更，调用链期望`__scmi_event_handler_get_ops`在失败时返回ERR_PTR错误码。然而，当无法找到或创建事件处理程序时，该函数仍可能返回NULL。当代码后续未对NULL进行校验直接使用返回值时，会触发空指针解引用，导致Kernel Panic。根据CVSS向量AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H，攻击者需具备本地低权限。虽然难以直接获取敏感信息或提升权限，但通过恶意操作触发通知错误路径，可导致系统可用性丧失。

攻击链分析

STEP 1

步骤1: 获取访问权限

攻击者获取目标系统的本地低权限用户访问权限。

STEP 2

步骤2: 触发错误路径

攻击者执行特定的系统调用或操作，触发ARM SCMI驱动中的通知事件处理逻辑，使其进入错误路径。

STEP 3

步骤3: 触发空指针解引用

由于__scmi_event_handler_get_ops返回NULL而非ERR_PTR，内核在尝试访问该指针时发生解引用错误。

STEP 4

步骤4: 系统崩溃

触发内核恐慌（Kernel Panic），导致系统重启或不可用，达成拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual Proof of Concept for CVE-2026-31544
// This PoC demonstrates the logic to trigger the NULL dereference.
// Requires a vulnerable Linux kernel version.

#include <stdio.h>
#include <stdlib.h>

// In a real exploit scenario, this would involve specific interactions
// with the SCMI (System Control and Management Interface) to force
// the notify error path where the handler is NULL.

int main() {
    printf("Attempting to trigger CVE-2026-31544\n");
    // Simulate triggering the event handler lookup failure
    // In kernel space: ptr = __scmi_event_handler_get_ops(...);
    // If ptr is NULL and used -> Crash
    
    // Actual trigger would require specific hardware/driver interaction
    return 0;
}

影响范围

Linux Kernel (主要版本取决于具体提交b5daf93b809d1之前)

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议严格限制本地用户权限，并监控系统日志中的SCMI驱动异常。若业务允许，可临时禁用受影响的ARM SCMI模块以防止崩溃。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表