该漏洞存在于 Linux 内核数据包过滤框架 nf_tables 中。Exodus Intelligence 研究员 Oliver Sieber 于 2025 年初发现此缺陷,并将其漏洞链组合完成完整本地权限提升利用。官方在 2026 年 2 月 5 日完成漏洞修复,修复方案仅为删除源码中一个字符 —— 逻辑取反符 !。
FuzzingLabs 发布的分析报告写道:
nf_tables 事务回滚阶段中,全匹配规则元素存在逻辑判断取反缺陷,非特权用户可借此触发释放后重用(UAF)漏洞。该释放后重用漏洞可先泄露内核基地址,再获取堆内存地址,最终部署 ROP 调用链,通过栈劫持跳转至 msg_msg-2k 结构体,实现 Root 最高权限提权。
理清关键调用逻辑后,漏洞原理并不复杂。nf_tables 批量处理多条规则事务时,若中途操作失败会进入回滚流程,撤销已执行变更;回滚流程会调用nft_map_catchall_activate()恢复映射表内的全匹配规则元素。但该函数逻辑判断写反了:本该恢复的元素被跳过,反而去处理状态正常、无需恢复的元素。
报告进一步解释:
若执行 DELSET(删除集合)操作后触发回滚,全匹配规则元素不会执行nft_setelem_data_activate()恢复逻辑。针对 NFT_GOTO 跳转类规则,意味着不会调用nft_data_hold()增加规则链引用计数。每一次回滚都会永久减少chain->use引用计数;当引用计数归零时,DELCHAIN(删除规则链)操作会成功释放规则链内存,但此时全匹配规则元素仍持有该内存指针,由此产生释放后重用漏洞。在开启CONFIG_USER_NS(非特权用户命名空间)与CONFIG_NF_TABLES的发行版中,非特权用户可结合用户命名空间与 nf_tables 触发该漏洞实现本地提权。修复方式:移除逻辑取反符,使校验逻辑与nft_mapelem_activate()保持一致 —— 跳过已激活元素,仅处理未激活元素。
每一次回滚事务都会将规则链引用计数减一;计数归零后,内核释放该规则链,但仍持有指针的内核对象不会感知内存已释放。
Sieber 编写的漏洞利用程序分四步完成漏洞链触发:
漏洞发现厂商 Exodus 的报告记载:
该利用程序会多次触发释放后重用漏洞,依次完成内核基地址泄露、堆地址泄露、程序控制流劫持;在闲置服务器环境下,漏洞利用稳定性超 99%。
即便在 Apache 压测等高负载场景下,利用成功率仅降至约 80%,仍具备较高可用性。
该漏洞利用程序已在以下系统完成验证:Debian Bookworm、Debian Trixie、Ubuntu 22.04 LTS、Ubuntu 24.04 LTS。FuzzingLabs 团队采用独立复现思路,针对 Pwn2Own 柏林 2026 大赛基于 RHEL 10 编写了另一条 ROP 利用路径:不再通过blob_gen_0劫持控制流,而是对已释放的规则链调用nft_chain_validate校验函数,遍历规则表达式并调用可由攻击者控制的函数指针expr->ops->validate。为提权至 Root 且无需正常切回用户态,该利用程序覆盖modprobe_path内核变量、清零selinux_state结构体中 enforcing 字段关闭 SELinux 强制访问控制,并调用msleep让内核休眠,由独立进程执行载荷。
攻击前置条件与影响范围
攻击依赖 nf_tables 框架与非特权用户命名空间,绝大多数桌面系统与多数服务器发行版默认开启两项功能;该漏洞无远程攻击入口,属于内网本地后渗透漏洞:攻击者需要本地交互式 Shell、容器逃逸环境或已失陷的服务账号作为前置立足点。
各发行版修复进度:
- Ubuntu:22.04、24.04、25.10 均已推送内核补丁
- Debian:Bookworm、Trixie 完成修复,为 Bullseye LTS 反向移植 6.1 版本内核修复代码
- Red Hat、SUSE、Amazon Linux 同步跟踪并推送补丁
时间线
- 4 月 16 日:FuzzingLabs 公开可直接提权的完整利用程序
- 6 月 8 日:Exodus Intelligence 发布完整深度技术分析文档
补丁公开至完整利用方案披露间隔长达 4 个月,看似运维窗口充足,但多数企业基础设施并不会每 4 个月重启服务器更新内核,仍存在长期暴露风险。
FuzzingLabs 总结:
本次修复仅删除一个感叹号取反符;这一处微小的逻辑取反错误,完全颠倒了事务回滚流程的激活判断逻辑,最终催生释放后重用高危漏洞。
修复缓解建议
研究人员建议用户尽快升级内核并重启服务器完成更新;若暂时无法重启,需限制非特权用户命名空间,阻断漏洞利用路径。
CVE-2026-23111 是近期批量爆发的 Linux 本地提权漏洞之一,近期已披露多款同类缺陷:Copy Fail、Dirty Frag 及其衍生漏洞 Fragnesia、DirtyDecrypt,以及早年 ptrace 相关提权漏洞。