CVE-2026-31469 in Linuxالمعلومات

الملخص

بحسب VulDB • 29/05/2026

في نواة لينكس، تم حل الثغرة التالية:

virtio_net: إصلاح استخدام بعد التحرير (UAF) على dst_ops عند إلغاء تعيين IFF_XMIT_DST_RELEASE وكون napi_tx غير صحيح (false)

تحدث مشكلة استخدام بعد التحرير (UAF) عندما يكون برنامج تشغيل virtio_net مُهيأً بـ napi_tx=N ويتم إلغاء تعيين علم IFF_XMIT_DST_RELEASE الخاص بالجهاز (على سبيل المثال، أثناء تكوين قواعد مرشح مسار tc).

عند إزالة IFF_XMIT_DST_RELEASE من net_device، تتوقع طبقة الشبكة أن يحتفظ برنامج التشغيل بالإشارة المرجعية إلى skb->dst حتى يتم إرسال الحزمة بالكامل وتحريرها. في virtio_net مع napi_tx=N، قد تبقى حزم skbs في حلقة الإرسال الخاصة بـ virtio_net لفترة ممتدة.

إذا تم تدمير مساحة الاسم الشبكية (network namespace) بينما لا تزال هذه الحزم skbs معلقة، فإن بنية dst_ops المقابلة تكون قد تم تحريرها. عند إرسال حزمة لاحقة، يتم استدعاء free_old_xmit() لتنظيف الحزم skbs القديمة. ثم يستدعي dst_release() على الحزمة skb المرتبطة بعنصر dst_entry القديم. بما أن dst_ops (المشار إليها بواسطة dst_entry) قد تم تحريرها بالفعل، يحدث طلب صفحة نواة (kernel paging request) بسبب استخدام بعد التحرير (UAF).

تم الإصلاح بإضافة skb_dst_drop(skb) في start_xmit لإطلاق الإشارة المرجعية dst صراحةً قبل إدراج الحزمة skb في virtio_net.

تتبع المكالمة (Call Trace): غير قادر على معالجة طلب صفحة نواة عند العنوان الافتراضي ffff80007e150000 وحدة المعالجة المركزية: 2 معرف المستخدم (UID): 0 معرف العملية (PID): 6236 الاسم: ping Kdump: محمّل غير ملوث 7.0.0-rc1+ #6 PREEMPT ... percpu_counter_add_batch+0x3c/0x158 lib/percpu_counter.c:98 (P) dst_release+0xe0/0x110 net/core/dst.c:177 skb_release_head_state+0xe8/0x108 net/core/skbuff.c:1177 sk_skb_reason_drop+0x54/0x2d8 net/core/skbuff.c:1255 dev_kfree_skb_any_reason+0x64/0x78 net/core/dev.c:3469 napi_consume_skb+0x1c4/0x3a0 net/core/skbuff.c:1527 __free_old_xmit+0x164/0x230 drivers/net/virtio_net.c:611 [virtio_net]
free_old_xmit drivers/net/virtio_net.c:1081 [virtio_net]
start_xmit+0x7c/0x530 drivers/net/virtio_net.c:3329 [virtio_net]
...

خطوات إعادة الإنتاج: NETDEV="enp3s0"

config_qdisc_route_filter() {
tc qdisc del dev $NETDEV root tc qdisc add dev $NETDEV root handle 1: prio tc filter add dev $NETDEV parent 1:0 \ protocol ip prio 100 route to 100 flowid 1:1 ip route add 192.168.1.100/32 dev $NETDEV realm 100 }

test_ns() {
ip netns add testns ip link set $NETDEV netns testns ip netns exec testns ifconfig $NETDEV 10.0.32.46/24 ip netns exec testns ping -c 1 10.0.32.1 ip netns del testns }

config_qdisc_route_filter

test_ns sleep 2 test_ns

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Linux

حجز

09/03/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358867

CPE

جاهز

CWE

CWE-416 (مؤكد)

CVSS

8.0 (VulDB)

EPSS

0.00017

KEV

لا

النشاطات

منخفض جدًا

القطاع

Finance, Lawfirm, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31469
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31469
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31469/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!