【已复现】LinuxFUSEpagecache越界写本地提权漏洞

admin 2026-07-10 07:31:18 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文披露Linux内核FUSE子系统pagecache越界写提权漏洞CVE-2026-31694。漏洞因未校验目录项长度是否超出PAGE_SIZE,允许恶意FUSE服务触发24字节内核越界写从而获取root权限。该漏洞影响6.15等版本,POC已公开,建议用户立即升级内核至6.18.25、7.0.2或7.1及以上修复版本。 综合评分: 88 文章分类: 漏洞分析,漏洞预警,漏洞POC,二进制安全


cover_image

【已复现】Linux FUSE page cache 越界写本地提权漏洞

原创

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年7月7日 16:49 四川

在小说阅读器读本章

去阅读

Linux 内核 FUSE 子系统曝出 page cache 越界写本地权限提升漏洞(CVE-2026-31694,CVSS 7.8),本地攻击者通过构造恶意 FUSE 文件系统目录项数据,可触发内核 page cache 越界写,破坏相邻缓存页面内容,并在特定利用条件下实现 root 权限提升。

利用前置条件:

  • 攻击者需要具备本地执行能力
  • 允许用户挂载或运行受控 FUSE 文件系统

目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Linux FUSE page cache 越界写本地提权漏洞 | | | | 漏洞编号 | CVE-2026-31694 | | | | 公开时间 | 2026-05-01 | POC状态 | 已公开 | | 漏洞类型 | 本地权限提升 | EXP状态 | 已公开 | | 利用可能性 | 高 | 技术细节状态 | 已公开 | | CVSS 3.1 | 7.8 | 在野利用状态 | 未发现 |

01

漏洞影响范围

漏洞相关缓存逻辑由commit 69e34551152a286f827d54dcb5700da6aeaac1fb引入;修复 commit 51a8de6c50bf947c8f534cd73da4c8f0a13e7bed 于 2026-04-24 合入主线,首次出现在 v7.1-rc1,正式版本 v7.1 已包含修复。

该漏洞自 Linux 内核 6.15 起引入。已确认的修复情况如下:

  • 在 6.18 分支中,自 6.18.25 起修复
  • 在 7.0 分支中,自 7.0.2 起修复
  • 在 7.1 及后续版本中已全部修复

Linux 内核 6.15 及之后、低于上述修复版本的中间版本均受影响。

已知受影响发行版:

  • Ubuntu
  • Fedora

02

修复建议

正式防护方案

官方修复补丁已经发布,受影响版本请尽快修复。

diff --git a/fs/fuse/readdir.c b/fs/fuse/readdir.cindex c2aae2eef0868..aae657fd56c0e 100644--- a/fs/fuse/readdir.c+++ b/fs/fuse/readdir.c@@ -41,6 +41,10 @@ static void fuse_add_dirent_to_cache(struct file *file,unsigned int offset;void *addr;
+  /* Dirent doesn't fit in readdir cache page?  Skip caching. */+  if (reclen > PAGE_SIZE)+    return;+   spin_lock(&fi->rdc.lock);    /*    * Is cache already completed?  Or this entry does not go at the end of

补丁在 fs/fuse/readdir.c 的 fuse_add_dirent_to_cache() 中新增检查:当 reclen > PAGE_SIZE 时直接 return,避免将大于单页的 FUSE dirent 写入 readdir page cache。

03

漏洞描述

CVE-2026-31694 是 Linux 内核 FUSE 子系统中的 page cache 越界写漏洞,问题位于 fs/fuse/readdir.c 的 fuse_add_dirent_to_cache()。该函数从 FUSE 服务端可控的 dirent->namelen 计算序列化目录项长度 reclen,并将目录项复制到单个 page cache 页面中;原逻辑只判断目录项能否放入当前页剩余空间,若放不下就切换到新页,但没有检查单个目录项本身是否大于 PAGE_SIZE。恶意 FUSE 服务端可返回 namelen=4095 的目录项,使 FUSE_DIRENT_SIZE 变为 4120 字节,在 4 KB 页面系统上造成 24 字节可控数据写出到相邻内核页面。

攻击者需要具备本地执行能力,并能挂载或驱动一个恶意 FUSE 文件系统,例如通过 fusermount3 或允许非特权用户命名空间的环境。成功利用后,可通过污染相邻 page cache 页面影响 SUID 程序或敏感文件缓存,实现本地权限提升。

04

漏洞复现

360漏洞研究院已成功复现 Linux FUSE page cache 越界写本地提权漏洞(CVE-2026-31694),实现本地权限提升。

CVE-2026-31694

Linux FUSE page cache 越界写本地提权漏洞复现

05

时间线

2026年7月7日,360漏洞研究院发布本安全风险通告。

06

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2026-31694

https://bynar.io/blog/discovery-validation-in-the-linux-kernel-part-2-fuse-page-cache-overflow

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=51a8de6c50bf947c8f534cd73da4c8f0a13e7bed

07

更多漏洞情报

“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”

建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。

邮箱:[email protected]

网址:https://vi.loudongyun.360.net

“洞”悉网络威胁,守护数字安全

关于我们

360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:360漏洞研究院 360漏洞研究院 360漏洞研究院《【已复现】Linux FUSE page cache 越界写本地提权漏洞》

你醒啦?现在是1998年 网络安全文章

你醒啦?现在是1998年

文章总结: 这是一篇中国电信安全公众号于2026年7月7日发布的文章,标题为你醒啦?现在是1998年。文章内容以图片为主,并推荐了关于高考考网络安全和世界电信日
评论:0   参与:  0