CVE-2026-31663 CVSS 7.8 高危

CVE-2026-31663 Linux内核xfrm释放后重用漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31663

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的xfrm子系统中存在一个释放后重用漏洞。在异步加密操作完成后，xfrm_input_resume()函数在数据包到达transport_finish之前过早地调用了dev_put()来释放设备引用。然而，随后的NF_HOOK及其回调函数中仍会使用skb->dev指针。这种时序错误导致在设备拆卸期间存在竞态条件，本地攻击者可利用此漏洞导致系统崩溃或权限提升，严重影响系统的机密性、完整性和可用性。

技术细节

该漏洞的核心问题在于Linux内核IPsec框架对网络设备引用计数的生命周期管理不当。具体流程中，当异步加密完成并调用xfrm_input_resume()时，代码立即释放了skb->dev的引用计数。此时，数据包尚未经过transport_finish中的Netfilter钩子（NF_HOOK）处理。如果在释放引用和NF_HOOK调用之间发生设备注销操作，skb->dev指向的内存将被释放。由于NF_HOOK逻辑及其okfn回调函数仍尝试访问该指针，从而触发了释放后重用（UAF）。攻击者可通过构造特定的网络流量触发该竞态条件，导致内核空指针解引用或执行任意代码。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限。

STEP 2

步骤2

触发涉及IPsec/xfrm的异步加密网络流量处理流程。

STEP 3

步骤3

在xfrm_input_resume调用dev_put()之后，NF_HOOK执行之前，利用竞态窗口触发设备卸载或内存操作。

STEP 4

步骤4

导致内核访问已释放的内存（UAF），引发系统崩溃或潜在的权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-31663
 * Demonstrating the race condition between dev_put and NF_HOOK usage.
 */
#include <linux/module.h>
#include <linux/skbuff.h>
#include <net/xfrm.h>

void simulated_vulnerable_path(struct sk_buff *skb) {
    // Vulnerability: Reference is dropped here
    dev_put(skb->dev);

    // Race Window: If device teardown happens now, skb->dev is invalid.
    // But NF_HOOK below still uses it.
    NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, skb, skb->dev, NULL, NULL);
}

/*
 * Mitigation logic (Fix):
 * 1. Save the device pointer.
 * 2. Call NF_HOOK.
 * 3. Call dev_put(saved_dev) after the hook.
 */

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议立即应用官方发布的内核补丁。如果无法立即升级，可暂时禁用受影响的功能或严格限制本地用户对系统网络配置的访问，以降低被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表