CVE-2026-31595 CVSS 5.5 中危

CVE-2026-31595 Linux Kernel pci-epf-vntb拒绝服务漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31595

漏洞类型

竞态条件

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的PCI端点功能驱动程序（pci-epf-vntb）存在资源释放时序漏洞。在`epf_ntb_epc_cleanup`函数中，未在清除BAR映射和门铃之前禁用延迟工作`cmd_handler`。这导致处理程序在资源被拆除后仍可能运行，进而访问无效内存地址，触发内核页错误（Oops），导致系统崩溃或拒绝服务。

技术细节

该漏洞源于Linux内核驱动程序`pci-epf-vntb`的资源释放逻辑缺陷。在设备清理过程中，`epf_ntb_epc_cleanup`函数负责释放相关资源，但未先取消或禁用`cmd_handler`相关的延迟工作。由于工作队列可能仍在运行或待执行，当清理函数移除了BAR映射和门铃资源后，`cmd_handler`仍可能被调度执行。此时，处理程序尝试访问已被释放或无效的虚拟内存地址（如报错中的`ffff800083f46004`），导致无法处理的内核页错误。本地攻击者可利用此竞态条件触发内核恐慌，造成系统拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者获得对目标Linux系统的本地低权限访问。

STEP 2

步骤2

攻击者触发受影响的PCI端点设备驱动程序（pci-epf-vntb）的卸载或清理操作。

STEP 3

步骤3

在资源清理过程中，`cmd_handler`工作项在BAR映射被清除后仍被执行。

STEP 4

步骤4

系统尝试访问无效内存地址，触发内核页错误（Oops），导致系统崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31595
 * This kernel module triggers the cleanup path of pci-epf-vntb
 * to demonstrate the race condition in epf_ntb_epc_cleanup.
 * Requires a system with the vulnerable driver loaded and NTB hardware.
 */

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>

// In a real scenario, one would interact with the PCI endpoint framework
// to bind/unbind the device, triggering the cleanup.

static int __init poc_init(void) {
    printk(KERN_INFO "Attempting to trigger cleanup race condition...");
    // Logic here would force the device removal or cleanup
    // while the workqueue is active.
    return 0;
}

static void __exit poc_exit(void) {
    printk(KERN_INFO "Exiting PoC.");
}

module_init(poc_init);
module_exit(poc_exit);
MODULE_LICENSE("GPL");

影响范围

Linux Kernel (参考Git提交: 5999067, 6773cc2, 9921cce等之前版本)

防御指南

临时缓解措施

建议暂时卸载pci-epf-vntb内核模块（modprobe -r pci_epf_vntb），以防止该驱动程序被利用，直到应用安全补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表