Linux本機權限提升漏洞CVE-2026-46333(存在9年)
Qualys 研究人員揭露存在長達9年的 Linux 本機提權漏洞,CVSS 7.1,PoC 已公開,影響 Debian、Ubuntu、Fedora 等主流發行版。
基本資訊
| 項目 | 內容 |
|---|---|
| CVE編號 | CVE-2026-46333 |
| CVSS評分 | 7.1 |
| 發現者 | Qualys |
| 漏洞引入版本 | Linux 核心 4.10-rc1(2016年11月) |
| 修補日期 | 2026年5月14日 |
| PoC狀態 | 已公開 |
技術原理
- 根源:
_ptrace_may_access()函數中的邏輯缺陷 - 攻擊前提:需取得本機一般使用者帳號(local access)
- 影響:權限提升至 root、洩露憑證
可利用能力
- 讀取
/etc/shadow檔案 - 竊取 SSH 主機私鑰
- 透過劫持 D-Bus 連線以 root 執行任意命令
受影響系統(已驗證)
Qualys 製作 4 個 PoC exploit,成功觸發於:
- Debian 13
- Ubuntu 24.04 / 26.04
- Fedora 43 / 44
與其他 Linux LPE 漏洞的關聯
此漏洞與2026年5月其他 Linux LPE 漏洞(PinTheft、Fragnesia、DirtyDecrypt)構成本月 Linux 提權漏洞密集爆發態勢。
來源文章
相關頁面
- qualys — 漏洞發現者
- linux-lpe-2026-may — Linux 2026年5月本機提權漏洞群
- Linux本機權限提升漏洞PinTheft RDS引用計數錯誤Arch Linux root權限 — 同期另一LPE漏洞