研究人員揭露存在9年的Linux本機權限提升漏洞CVE-2026-46333
來源: iThome(ID: 530)| 日期: 2026-05-22 URL: https://www.ithome.com.tw/news/176047
摘要
Qualys 研究人員揭露一個存在長達 9 年的 Linux 本機提權漏洞(CVE-2026-46333),CVSS 7.1,根源在 _ptrace_may_access() 函數中的邏輯缺陷,自 Linux 核心 4.10-rc1(2016年11月)引入。PoC 已公開,建議立即套用核心更新。
技術細節
- CVE 編號:CVE-2026-46333
- CVSS 評分:7.1
- 發現者:Qualys
- 漏洞引入版本:Linux 核心 4.10-rc1(2016年11月)
- 修補日期:2026年5月14日
- PoC 狀態:已公開
- 根源:
_ptrace_may_access()函數邏輯缺陷 - 攻擊前提:需取得本機一般使用者帳號(local access)
- 影響:權限提升至 root、洩露憑證
可利用能力
- 讀取
/etc/shadow檔案 - 竊取 SSH 主機私鑰
- 透過劫持 D-Bus 連線以 root 執行任意命令
受影響系統(已驗證)
Qualys 製作 4 個 PoC exploit,成功觸發於:
- Debian 13
- Ubuntu 24.04 / 26.04
- Fedora 43 / 44
衍生頁面
- Linux本機權限提升漏洞CVE-2026-46333存在9年Qualys揭露 — 漏洞概念頁面
- qualys — 發現者