CVE-2026-43440 CVSS 7.8 高危

CVE-2026-43440 Linux kernel net/mana UAF漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43440

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的net/mana驱动组件存在一处高危安全漏洞。在mana_gd_setup函数的错误处理流程中，代码在调用destroy_workqueue()销毁工作队列后，未能将gc->service_wq指针及时置为NULL。这一疏忽导致该指针状态与mana_gd_cleanup()函数中的清理逻辑不一致。如果在设置失败后再次访问该工作队列指针，将引发释放后重用漏洞，攻击者利用此漏洞可导致系统崩溃、内核拒绝服务，甚至可能实现本地权限提升。

技术细节

该漏洞源于Linux内核网络子系统（net/mana）中的资源管理逻辑缺陷。具体而言，mana_gd_setup函数负责初始化Generic Device (GD)资源，其中包含创建一个工作队列并赋值给gc->service_wq。当初始化过程中发生错误时，代码会调用destroy_workqueue()释放该队列资源，但遗漏了将gc->service_wq指针置为NULL的关键步骤。随后，如果调用mana_gd_cleanup()进行清理，由于gc->service_wq非NULL，代码会再次尝试销毁该工作队列。这种“双重释放”或“释放后重用”行为会导致内核内存结构损坏。攻击者通过特定的本地操作触发初始化失败路径，进而控制或破坏内核内存，可能导致本地提权或系统崩溃。漏洞利用需要本地访问权限（AV:L）和低权限用户（PR:L），无需用户交互。

攻击链分析

STEP 1

侦察

攻击者确认目标系统运行包含漏洞Linux内核版本，且加载了net/mana驱动。

STEP 2

获取访问

攻击者获得目标系统的本地低权限用户访问权限（PR:L）。

STEP 3

触发漏洞

攻击者调用特定的系统调用或接口，触发mana_gd_setup函数执行并迫使其进入错误处理路径。

STEP 4

利用漏洞

在setup失败后，攻击者诱导执行mana_gd_cleanup函数，因指针未置空，导致对已释放内存的二次操作（UAF/Double Free）。

STEP 5

达成效果

造成内核崩溃（DoS），或通过精心构造的内存布局实现本地权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual Proof of Concept for CVE-2026-43440
 * This snippet demonstrates the logic flaw in mana_gd_setup.
 * Triggering the error path leads to UAF in cleanup.
 */

#include <linux/module.h>
#include <linux/workqueue.h>

struct mock_gc {
    struct workqueue_struct *service_wq;
};

// Simulating the vulnerable cleanup function
void mana_gd_cleanup(struct mock_gc *gc) {
    if (gc->service_wq) {
        destroy_workqueue(gc->service_wq);
        gc->service_wq = NULL;
    }
}

// Simulating the vulnerable setup function
int mana_gd_setup(struct mock_gc *gc) {
    gc->service_wq = alloc_workqueue("mana_service", 0, 0);
    if (!gc->service_wq)
        return -ENOMEM;

    // Simulate a setup error occurring after allocation
    // VULNERABILITY: The code destroys the queue but fails to set gc->service_wq to NULL
    destroy_workqueue(gc->service_wq);
    
    return -EINVAL; // Return error status
}

// Trigger logic
int trigger_vulnerability(void) {
    struct mock_gc *gc = kzalloc(sizeof(*gc), GFP_KERNEL);
    if (!gc) return -ENOMEM;

    // Step 1: Call setup, which fails and frees the workqueue
    if (mana_gd_setup(gc) != 0) {
        printk(KERN_INFO "Setup failed, workqueue destroyed but pointer not NULLed.\n");
    }

    // Step 2: Call cleanup
    // Since gc->service_wq is not NULL, it attempts to destroy the already freed queue -> UAF
    mana_gd_cleanup(gc);

    kfree(gc);
    return 0;
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议系统管理员尽快应用官方补丁。由于该漏洞需要本地访问权限，限制非受信用户的本地访问权限可作为辅助缓解措施。同时，应密切监控系统日志中关于mana驱动或工作队列相关的异常崩溃信息。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表