CVE-2026-5590 CVSS 6.4 中危

CVE-2026-5590 Zephyr RTOS TCP空指针解引用漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5590

漏洞类型

空指针解引用

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Zephyr RTOS

漏洞概述

Zephyr RTOS在TCP连接断开过程中存在竞态条件漏洞。当系统处理TCP连接断开时，tcp_recv()函数可能会操作已被释放的连接对象。此外，在处理SYN数据包时，若tcp_conn_search()返回NULL，程序会将源自过期上下文的NULL指针传递给tcp_backlog_is_full()且未进行验证，导致空指针解引用，进而引发系统崩溃。

技术细节

该漏洞主要由两个竞态条件场景触发。首先，在TCP连接断开期间，由于时序问题，tcp_recv()可能试图访问一个已经被释放的连接控制块（PCB），导致Use-After-Free。其次，在处理传入的SYN数据包时，tcp_conn_search()函数可能因找不到对应连接而返回NULL。然而，代码逻辑未对该NULL指针进行有效性检查，直接将其作为参数传递给tcp_backlog_is_full()函数。该函数内部尝试解引用该指针以访问成员变量，从而触发非法内存访问，导致内核崩溃或设备重启。攻击者可通过发送特制的TCP SYN包，利用此窗口期触发NULL指针解引用，从而造成设备拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者向运行Zephyr RTOS的目标设备发送特制的TCP SYN数据包。

STEP 2

步骤2

目标设备在处理TCP连接断开或处于特定状态时接收该数据包。

STEP 3

步骤3

竞态条件导致tcp_conn_search()返回NULL，但系统未进行校验。

STEP 4

步骤4

NULL指针被传递给tcp_backlog_is_full()并解引用。

STEP 5

步骤5

系统发生内核崩溃，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-5590
 * Demonstrating the NULL pointer dereference trigger.
 */

#include <stdio.h>

// Mock function representing the vulnerable logic
int tcp_backlog_is_full(void *conn) {
    // Vulnerability: Dereferencing conn without checking for NULL
    // Accessing a member of the connection structure
    return ((struct tcp_conn *)conn)->backlog >= 10;
}

void trigger_crash() {
    // Simulate tcp_conn_search() returning NULL due to race condition
    struct tcp_conn *conn = NULL;

    // The vulnerable code path passes the NULL pointer directly
    if (tcp_backlog_is_full(conn)) {
        printf("Backlog full\n");
    }
}

int main() {
    trigger_crash();
    return 0;
}

影响范围

Zephyr RTOS (具体受影响版本请参考官方安全公告 GHSA-4vqm-pw24-g9jp)

防御指南

临时缓解措施

在应用补丁前，建议在网络边界部署防火墙，限制对设备TCP端口的非必要访问，并过滤异常的SYN flood流量以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表