CVE-2026-43432 CVSS 5.5 中危

CVE-2026-43432 Linux内核xhci驱动内存泄漏漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43432

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的USB xHCI驱动程序中存在一个内存泄漏漏洞。该漏洞源于`xhci_disable_slot`函数的错误处理路径。当调用`xhci_alloc_command`分配命令结构体时，如果第二个参数为真，会同时分配完成结构体。然而，在错误处理逻辑中，代码仅使用了`kfree()`释放命令结构体，导致完成结构体未被释放。利用此漏洞可能导致本地攻击者耗尽系统内存，从而影响系统可用性。

技术细节

该漏洞位于Linux内核的`drivers/usb/host/xhci-mem.c`文件中的`xhci_disable_slot`函数。问题出在资源管理逻辑上：`xhci_alloc_command`函数负责分配`xhci_command`结构体，并根据标志位分配配套的`completion`结构体。标准的释放流程应使用`xhci_free_command`，该函数会安全释放命令结构体、完成结构体以及输入上下文。但在`xhci_disable_slot`的错误处理分支中，开发者直接使用了`kfree(cmd)`，仅释放了外层结构体，造成`completion`结构体内存泄漏。由于该结构体是在特定错误路径下分配的，攻击者需要具备本地低权限，并通过特定的USB操作或硬件状态触发该错误路径。虽然该漏洞不涉及代码执行，但在高频触发下，持续的内存泄漏可能导致内核内存耗尽，从而引发拒绝服务攻击。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获得本地系统的低权限访问权限。

STEP 2

2. 触发USB子系统

攻击者通过插入特定的USB设备或使用系统调用与xHCI驱动程序交互，尝试触发设备禁用操作。

STEP 3

3. 激活错误路径

通过特定的硬件状态或操作，使`xhci_disable_slot`函数进入错误处理路径。

STEP 4

4. 内存泄漏

由于错误处理代码缺陷，内核分配的`completion`结构体未被释放，导致内存泄漏。

STEP 5

5. 拒绝服务

攻击者重复上述步骤，耗尽内核内存，导致系统崩溃或无响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43432 Memory Leak
 * This snippet demonstrates the vulnerable logic flow.
 * Triggering this requires specific hardware state or emulation.
 */

#include <linux/module.h>
#include <linux/usb.h>

// Mocking the vulnerable structure
struct xhci_command {
    struct completion *cmd_completion;
    void *in_ctx;
};

// Vulnerable function simulation
void vulnerable_xhci_disable_slot_simulation() {
    struct xhci_command *cmd;

    // Allocation similar to xhci_alloc_command(..., true)
    cmd = kzalloc(sizeof(*cmd), GFP_KERNEL);
    if (!cmd) return;

    cmd->cmd_completion = kmalloc(sizeof(struct completion), GFP_KERNEL);
    if (!cmd->cmd_completion) {
        // Error path: Incorrectly freeing only 'cmd'
        kfree(cmd); // BUG: Leaks cmd_completion
        return;
    }

    // ... operation logic ...

    // Correct cleanup should be xhci_free_command(cmd)
    // which would free both cmd and cmd_completion
}

// Fix simulation
void fixed_xhci_disable_slot_simulation() {
    struct xhci_command *cmd;

    cmd = kzalloc(sizeof(*cmd), GFP_KERNEL);
    if (!cmd) return;

    cmd->cmd_completion = kmalloc(sizeof(struct completion), GFP_KERNEL);
    if (!cmd->cmd_completion) {
        // Fix: Use proper cleanup function
        if (cmd->in_ctx)
            kfree(cmd->in_ctx);
        kfree(cmd->cmd_completion);
        kfree(cmd);
        return;
    }
}

影响范围

Linux Kernel < 6.13-rc1

Linux Kernel Stable系列 (需参考具体Git Commit修复)

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议严格限制对USB端口的物理访问，禁止未授权的USB设备连接。管理员应密切监控系统的内存使用情况，一旦发现异常内存占用，应及时排查并重启系统以释放泄漏的内存。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表