CVE-2026-43108 CVSS 5.5 中危

CVE-2026-43108: Linux内核pd-mapper服务崩溃漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43108

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的Qualcomm pd-mapper模块存在一个漏洞。该漏洞源于`servreg_loc_pfr_req_ei`结构体中声明的元素长度与`servreg_loc_pfr_req`结构中的reason字段不匹配。当PD（保护域）处理特定请求时，由于长度限制错误（接收到的字符串长度81超过定义的最大长度65），会导致解码错误并引发PD崩溃，进而影响系统可用性。

技术细节

该漏洞位于Linux内核的Qualcomm电源域映射器驱动中，特别是QMI（Qualcomm MSM Interface）解码逻辑部分。根本原因是`servreg_loc_pfr_req_ei`编码接口中定义的reason字段长度上限（65字节）小于实际`servreg_loc_pfr_req`请求结构中该字段允许的长度。当系统接收到一个reason字段长度超过65字节的QMI服务定位器PFR请求时，`qmi_decode_string_elem`函数会检测到长度溢出并报错。这种逻辑错误会导致解码流程异常终止，进而触发PD Mapper服务的崩溃。攻击者需具备本地低权限，通过发送特制的QMI消息即可触发此漏洞，造成系统拒绝服务。

攻击链分析

STEP 1

获取本地访问权限

攻击者需要获得目标Linux设备的本地低权限访问权限。

STEP 2

构造恶意QMI报文

攻击者构造一个特制的QMI消息，其中`servreg_loc_pfr_req`结构的reason字段长度被设置为81字节（超过定义的65字节限制）。

STEP 3

发送触发请求

攻击者通过QMI接口将包含超长字符串的恶意请求发送给pd-mapper服务。

STEP 4

服务崩溃

pd-mapper服务在调用`qmi_decode_string_elem`解码该字段时检测到长度溢出，触发异常并崩溃，导致系统功能中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43108
 * This code simulates sending a QMI message with a reason string
 * longer than the maximum defined length (65 bytes) to trigger the crash.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// Mocking the QMI header and request structure
typedef struct {
    uint32_t msg_id;
    uint32_t len;
} qmi_header;

#define MAX_REASON_LEN 81 // The length that causes the crash (> 65)

int main() {
    printf("[+] CVE-2026-43108 PoC Trigger\n");
    printf("[+] Target: Linux Kernel pd-mapper (servreg_loc_pfr_req)\n");

    // Simulate crafting the malicious payload
    // In a real scenario, this would be sent via the QMI port
    char *malicious_reason = malloc(MAX_REASON_LEN);
    memset(malicious_reason, 'A', MAX_REASON_LEN - 1);
    malicious_reason[MAX_REASON_LEN - 1] = '\0';

    printf("[+] Crafting request with reason length: %d\n", MAX_REASON_LEN);
    printf("[+] Payload Reason: %s\n", malicious_reason);

    // The vulnerability occurs when the kernel decodes this:
    // qmi_decode_string_elem: String len 81 >= Max Len 65
    printf("[!] Sending payload to pd-mapper service...\n");
    printf("[!] Expected result: PD Mapper Crash (DoS)\n");

    free(malicious_reason);
    return 0;
}

影响范围

Linux Kernel < 6.10

Linux Kernel < 6.9

Linux Kernel < 6.6

Linux Kernel < 6.1

防御指南

临时缓解措施

建议尽快更新操作系统内核以修复此漏洞。在无法立即更新内核的情况下，应严格限制本地用户权限，防止潜在的恶意利用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表