CVE-2026-43047 CVSS 7.8 高危

CVE-2026-43047: Linux内核HID multitouch越界写入漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43047

漏洞类型

越界写入

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的HID multitouch驱动程序存在高危安全漏洞。恶意或配置错误的设备在响应特性报告请求时，若返回了与请求不匹配的报告ID，会导致HID核心逻辑处理错误，进而引发越界写入（OOB Write）。该漏洞可能被恶意硬件利用，导致系统崩溃或本地权限提升。

技术细节

该漏洞源于Linux内核HID multitouch驱动程序在处理设备响应报文时缺乏严格的校验机制。在正常的HID通信流程中，主机向设备请求特定ID的特性报告，设备应返回对应ID的数据。然而，漏洞版本的驱动代码未验证返回报文中的Report ID是否与请求ID一致。攻击者可利用此缺陷，通过物理接入恶意USB HID设备或在虚拟化环境中模拟恶意设备，构造一个Report ID不匹配的响应数据包。当内核解析此异常数据时，会因混淆而将数据写入错误的内存偏移位置，导致越界写入（Out-of-Bounds Write）。这种内存破坏行为可能覆盖内核关键数据结构，进而导致系统崩溃（拒绝服务）或在特定条件下实现本地权限提升。

攻击链分析

STEP 1

步骤1：物理访问

攻击者获取对目标系统的物理访问权限，或控制虚拟机的USB设备 passthrough。

STEP 2

步骤2：连接恶意设备

攻击者接入一个特制的恶意HID设备（或模拟设备），该设备固件经过修改。

STEP 3

步骤3：触发请求

系统内核加载HID multitouch驱动并发送特性报告请求，与设备进行正常交互。

STEP 4

步骤4：发送错误响应

恶意设备针对请求返回一个报告ID与请求不匹配的响应数据包。

STEP 5

步骤5：内存破坏

内核驱动未校验ID差异，错误解析数据导致越界写入，可能引发崩溃或提权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43047
 * This demonstrates the logic required on a malicious HID device
 * to trigger the vulnerability.
 */

#include <linux/usb.h>
#include <linux/hid.h>

// Simulate a malicious HID device response
void trigger_malicious_response(struct usb_device *udev) {
    // 1. Wait for the host to request a specific Feature Report (e.g., ID 0x10)
    // ...

    // 2. Prepare a response buffer with a DIFFERENT Report ID (e.g., 0x20)
    // This mismatch causes the kernel to misinterpret the data size.
    int report_id = 0x20; 
    char *malicious_data = "AAAA..."; 

    // 3. Send the response to the host
    // The vulnerable kernel expects ID 0x10 but receives 0x20.
    // It processes the data using the size/structure of 0x10,
    // leading to an Out-of-Bounds Write.
    usb_control_msg(
        udev,
        usb_sndctrlpipe(udev, 0),
        HID_REQ_SET_REPORT,
        USB_TYPE_CLASS | USB_RECIP_INTERFACE | USB_DIR_OUT,
        (HID_FEATURE_REPORT << 8) | report_id,
        0,
        malicious_data,
        strlen(malicious_data),
        USB_CTRL_SET_TIMEOUT
    );
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

限制对系统物理端口的访问，防止未经授权的用户连接恶意HID设备。对于无法立即升级内核的系统，应严格管控USB设备的接入权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表