研究人員揭露存在9年的Linux本機權限提升漏洞CVE-2026-46333

來源: iThome(ID: 530)| 日期: 2026-05-22 URL: https://www.ithome.com.tw/news/176047

摘要

Qualys 研究人員揭露一個存在長達 9 年的 Linux 本機提權漏洞(CVE-2026-46333),CVSS 7.1,根源在 _ptrace_may_access() 函數中的邏輯缺陷,自 Linux 核心 4.10-rc1(2016年11月)引入。PoC 已公開,建議立即套用核心更新。

技術細節

  • CVE 編號:CVE-2026-46333
  • CVSS 評分:7.1
  • 發現者:Qualys
  • 漏洞引入版本:Linux 核心 4.10-rc1(2016年11月)
  • 修補日期:2026年5月14日
  • PoC 狀態:已公開
  • 根源_ptrace_may_access() 函數邏輯缺陷
  • 攻擊前提:需取得本機一般使用者帳號(local access)
  • 影響:權限提升至 root、洩露憑證

可利用能力

  • 讀取 /etc/shadow 檔案
  • 竊取 SSH 主機私鑰
  • 透過劫持 D-Bus 連線以 root 執行任意命令

受影響系統(已驗證)

Qualys 製作 4 個 PoC exploit,成功觸發於:

  • Debian 13
  • Ubuntu 24.04 / 26.04
  • Fedora 43 / 44

衍生頁面