IPBUF安全漏洞报告
English
CVE-2026-44028 CVSS 7.5 高危

CVE-2026-44028 Nix/Lix本地权限提升漏洞

披露日期: 2026-05-05
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-44028
漏洞类型
栈溢出
CVSS评分
7.5 高危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Nix, Lix

相关标签

栈溢出本地权限提升NixLixRCECVE-2026-44028

漏洞概述

Nix和Lix的NAR解析器存在无界递归漏洞,导致协程栈发生堆栈溢出且无保护页。能连接守护进程的攻击者可利用此缺陷覆盖堆内存,若成功绕过ASLR,即能以root权限执行任意代码,在多用户系统中实现本地权限提升。

技术细节

该漏洞核心在于NAR(Nix Archive)解析器处理特定数据时存在无界递归。Nix/Lix使用协程实现解析,其栈是在堆上分配且未设置保护页。当递归深度过大时,栈指针将越过边界直接覆盖堆内存区域。攻击者无需特殊权限,只需能连接到守护进程,即可通过发送恶意NAR数据触发溢出。利用该漏洞的关键在于绕过ASLR地址随机化。一旦成功,攻击者可控制指令指针,以root权限运行任意代码,从而在多用户安装环境下实现从普通用户到管理员权限的垂直提升。

攻击链分析

STEP 1
步骤1:访问获取
攻击者获得本地系统的普通用户权限,并确认能够连接到Nix守护进程(默认配置通常允许所有用户连接)。
STEP 2
步骤2:构造恶意数据
攻击者构造一个特制的NAR(Nix Archive)文件,其中包含导致解析器陷入无限或深度递归的嵌套结构。
STEP 3
步骤3:触发溢出
攻击者将恶意NAR文件发送给Nix守护进程进行处理。NAR解析器在协程栈上开始解析,由于没有保护页,递归导致栈溢出并覆盖堆内存。
STEP 4
步骤4:代码执行
攻击者利用内存覆盖漏洞,结合ASLR绕过技术,劫持程序的控制流(EIP/RIP),注入并执行恶意代码。
STEP 5
步骤5:权限提升
由于Nix守护进程以root身份运行,攻击者的恶意代码最终获得最高系统权限,完成本地提权。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC for CVE-2026-44028: Stack Overflow in NAR Parser # This script generates a nested structure to trigger unbounded recursion. import subprocess import os # Create a directory structure with deep nesting to simulate malicious NAR content # In a real exploit, this would be a crafted binary NAR file. # Here we attempt to trigger the issue via a recursive path import if supported, # or simply demonstrate the concept of sending data to the daemon. def generate_deeply_nested_path(depth): path = "." for i in range(depth): path = os.path.join(path, f"level{i}") os.makedirs(path, exist_ok=True) return path try: print("[*] Creating deep directory structure...") deep_path = generate_deeply_nested_path(10000) # Attempt to add to Nix store (conceptual trigger) # The actual trigger requires a valid NAR format with recursive nodes. print(f"[*] Structure created at {deep_path}") print("[*] Exploit requires sending crafted NAR to nix-daemon.") except Exception as e: print(f"Error: {e}")

影响范围

Nix < 2.34.7
Nix < 2.33.6
Nix < 2.32.8
Nix < 2.31.5
Nix < 2.30.5
Nix < 2.29.4
Nix < 2.28.7
Lix < 2.95.2
Lix < 2.94.2
Lix < 2.93.4

防御指南

临时缓解措施
建议立即升级到修复版本。如果无法立即升级,请通过配置限制能够连接到Nix守护进程的用户列表,仅授予受信任的管理员访问权限,以降低被攻击的风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表