CVE-2026-31745 CVSS 7.8 高危

CVE-2026-31745: Linux内核GPIO重置双重释放漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31745

漏洞类型

双重释放

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的reset/gpio组件存在双重释放漏洞。在reset_add_gpio_aux_device函数的错误处理路径中，当__auxiliary_device_add失败并调用auxiliary_device_uninit后，设备内存已被释放，但代码随后再次调用kfree导致内存被重复释放。本地攻击者可利用此漏洞造成系统崩溃或潜在权限提升。

技术细节

该漏洞源于Linux内核drivers/reset/core.c中的reset_add_gpio_aux_device函数错误处理逻辑缺陷。正常流程下，auxiliary_device_init分配内存，__auxiliary_device_add注册设备。若注册失败，代码调用auxiliary_device_uninit，该函数最终触发reset_gpio_aux_device_release回调，执行kfree(adev)释放内存。然而，原代码在调用auxiliary_device_uninit后，未判断内存状态便再次执行kfree(adev)。这种Use-After-Free式的逻辑错误导致同一块内核内存被释放两次，破坏了内核堆结构，攻击者可利用此进行本地拒绝服务攻击或在特定条件下提权。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限访问权限（PR:L）。

STEP 2

步骤2

攻击者触发特定的GPIO重置设备操作，导致驱动加载或设备初始化。

STEP 3

步骤3

诱导`__auxiliary_device_add`函数执行失败（例如资源不足或特定参数传递）。

STEP 4

步骤4

内核执行错误的错误处理路径，调用`auxiliary_device_uninit`释放内存后，再次调用`kfree`。

STEP 5

步骤5

触发内核双重释放，导致系统崩溃（DoS）或利用堆元数据覆盖实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Simulation for CVE-2026-31745
 * Demonstrating the double free logic in the error path.
 * This is a simulation of the kernel vulnerable code flow.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// Simulating kernel structures
struct auxiliary_device {
    char name[32];
};

// Simulating the release callback
void reset_gpio_aux_device_release(struct auxiliary_device *adev) {
    printf("[Release] Freeing adev at %p\n", (void*)adev);
    free(adev);
}

// Simulating auxiliary_device_uninit -> puts device -> triggers release
void auxiliary_device_uninit(struct auxiliary_device *adev) {
    reset_gpio_aux_device_release(adev);
}

// Simulating __auxiliary_device_add failure
int __auxiliary_device_add(struct auxiliary_device *adev) {
    // Force failure to trigger the error path
    return -EINVAL;
}

// The vulnerable function logic
void reset_add_gpio_aux_device() {
    struct auxiliary_device *adev;
    int ret;

    // Allocation
    adev = (struct auxiliary_device *)malloc(sizeof(struct auxiliary_device));
    if (!adev) return;
    strcpy(adev->name, "gpio_reset");
    printf("[Init] Allocated adev at %p\n", (void*)adev);

    // Initialization (implied success for PoC)
    
    // Attempt to add device
    ret = __auxiliary_device_add(adev);
    if (ret) {
        printf("[Error] __auxiliary_device_add failed with code %d\n", ret);
        
        // VULNERABLE PATH START
        auxiliary_device_uninit(adev); // This calls kfree(adev) internally
        
        printf("[Vuln] Calling kfree(adev) again...\n");
        // kfree(adev); // The bug is here, uncommenting causes double free
        free(adev); // Simulating the second free
        // VULNERABLE PATH END
        
        printf("[Vuln] Double free occurred. Heap corruption likely.\n");
        return;
    }
}

int main() {
    reset_add_gpio_aux_device();
    return 0;
}

影响范围

Linux Kernel (受影响版本请参考Git补丁1de465753220deb41569cf2add87bbb0673731db)

防御指南

临时缓解措施

建议立即更新系统内核。若无法立即更新，应限制本地用户对系统硬件资源的访问权限，并监控内核日志异常。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表