CVE-2026-43274 CVSS 8.4 高危

CVE-2026-43274 Linux内核越界访问漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43274

漏洞类型

越界访问

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核mchp-ipc-sbi驱动存在越界访问漏洞。在`mchp_ipc_get_cluster_aggr_irq`函数中，`cluster_cfg`数组依据在线CPU数量分配，但被错误地使用`hartid`进行索引。由于`hartid`数值可能非连续或超出数组范围，导致越界访问。该漏洞允许本地攻击者破坏内存完整性，造成拒绝服务或权限提升。

技术细节

漏洞根源在于索引逻辑错误。Linux内核在Microchip IPC SBI驱动中，`cluster_cfg`数组大小由在线CPU数量决定，索引范围应为[0, N-1]。原代码使用`hartid`（硬件线程ID）作为索引，而在RISC-V架构中，`hartid`是物理标识，可能存在空洞（如ID为0, 1, 4, 5）。当`hartid`大于数组长度时，触发越界读写。漏洞利用无需用户交互（UI:N）且无需认证（PR:N），攻击者可通过本地操作触发该路径，导致内核崩溃或执行任意代码。修复方案是将索引改为`cpuid`，确保其在`for_each_online_cpu`循环的有效范围内。攻击者可利用此漏洞绕过内存保护，影响系统机密性、完整性及可用性。

攻击链分析

STEP 1

侦察

攻击者确认目标系统运行受影响的Linux内核版本，且启用了mchp-ipc-sbi驱动。

STEP 2

触发

攻击者在本地执行代码，触发驱动程序中的`mchp_ipc_get_cluster_aggr_irq`函数调用。

STEP 3

利用

由于驱动使用`hartid`作为索引，且该ID超出动态分配数组的大小，发生越界内存读写。

STEP 4

影响

导致内核崩溃（DoS）或通过内存破坏进一步实现权限提升（LPE）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-43274
 * This demonstrates the logic error in indexing the cluster_cfg array.
 * Requires a kernel environment with the vulnerable driver and specific hardware topology.
 */

#include <stdio.h>
#include <stdlib.h>

// Simulating the vulnerable logic
void vulnerable_logic(int *cluster_cfg, int num_cpus, int hartid) {
    // Vulnerability: using hartid directly as index
    // If hartid (e.g., 4) >= num_cpus (e.g., 4), this is OOB.
    printf("Accessing index %d (hartid) in array of size %d\n", hartid, num_cpus);
    int val = cluster_cfg[hartid]; // Out-of-bounds access
    printf("Value: %d\n", val);
}

// Simulating the fixed logic
void fixed_logic(int *cluster_cfg, int num_cpus, int cpuid) {
    // Fix: using cpuid from for_each_online_cpu()
    if (cpuid < num_cpus) {
        printf("Accessing index %d (cpuid) in array of size %d\n", cpuid, num_cpus);
        int val = cluster_cfg[cpuid]; // Safe access
        printf("Value: %d\n", val);
    }
}

int main() {
    int num_online_cpus = 4;
    int *cluster_cfg = (int *)malloc(num_online_cpus * sizeof(int));

    // Scenario: Hart IDs are non-contiguous, e.g., 0, 1, 4, 5
    int hartid = 4; 

    printf("--- Triggering Vulnerable Logic ---\n");
    vulnerable_logic(cluster_cfg, num_online_cpus, hartid);

    printf("\n--- Triggering Fixed Logic (mapped cpuid) ---\n");
    // Assuming hartid 4 maps to cpuid 2 in the topology
    int cpuid = 2; 
    fixed_logic(cluster_cfg, num_online_cpus, cpuid);

    free(cluster_cfg);
    return 0;
}

影响范围

Linux Kernel < commit 0442b6229e2e

Linux Kernel < commit 95438699c929

Linux Kernel < commit f7c330a8c83c

防御指南

临时缓解措施

建议立即应用官方提供的内核补丁。在无法立即升级的情况下，严格限制本地用户权限，减少潜在的攻击面，并密切监控系统日志以检测异常的内核错误。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表