Linux Kernel net/sched act_pedit本地权限提升漏洞(CVE-2026-46331)安全风险通告

01 漏洞详情

影响组件

Linux 内核是一款开源的类 Unix 操作系统内核，由 Linus Torvalds 于 1991 年首次发布，现已成为全球使用最广泛的操作系统内核之一。它支持多种硬件架构，提供进程管理、内存管理、文件系统、网络协议栈及设备驱动等核心功能，被广泛应用于服务器、桌面系统、移动设备（Android）、嵌入式系统及云计算基础设施中。Linux 内核的网络子系统（net/sched）提供了强大的流量控制（Traffic Control）框架，允许管理员通过 tc 工具对网络数据包进行分类、整形、修改和调度，其中 act_pedit（Packet Editor）动作用于在数据包传输过程中修改数据包内容。

漏洞描述

近日，奇安信CERT监测到官方修复Linux Kernel net/sched act_pedit 本地权限提升漏洞(CVE-2026-46331)，该漏洞源于 tcf_pedit_act() 函数在处理数据包编辑操作时，函数仅在循环外基于 tcfp_off_max_hint 一次性计算 skb 写时复制 COW 范围，该提示值未考虑运行时类型密钥追加的报文头部偏移，导致部分待写入内存区域未执行 COW 拷贝。攻击者可通过非特权用户命名空间配合 CAP_NET_ADMIN 权限，构造恶意 tc 流量规则，触发未 COW 的共享只读页缓存写入篡改；无需内核竞态条件，可稳定篡改 setuid-root 二进制文件的页缓存，不会持久写入磁盘，仅内存层面生效。成功利用后本地普通用户可直接获取系统 root 最高权限，从而实现完全控制服务器。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

利用条件

本地存在可登录普通非特权用户账号。

02 影响范围

影响版本

v5.18 <= Linux Kernel < v7.1-rc7

目前已知受影响发行版本：

RHEL 10.0（内核 6.12.0-228.el10）

Debian 13 trixie（内核 6.12.90+deb13.1）

Ubuntu 24.04.4（内核 6.17.0-22）

03 复现情况

目前，奇安信威胁情报中心AI Agent已成功复现Linux Kernel net/sched act_pedit 本地权限提升漏洞(CVE-2026-46331)，截图如下：

04 处置建议

安全更新

目前官方已有可更新版本，建议尽快将 Linux 内核升级至以下版本：

Linux Kernel >= v7.1-rc7

或升级至包含修复补丁 899ee91156e57784090c5565e4f31bd7dbffbc5a 的内核版本，该补丁将 skb_ensure_writable() 移至 per-key 循环内部，确保在实际写入偏移已知时执行 COW 操作，并添加了偏移算术溢出检查；对于负偏移（如 ingress 时的 Ethernet 头部编辑），使用 skb_cow() 对 headroom 进行 COW 处理。

补丁下载地址：

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=899ee91156e57784090c5565e4f31bd7dbffbc5a

各发行版专项更新如下：

RHEL 10：升级内核至 6.12.0-228.el10 后续安全更新版本；

Debian 13：升级 6.12.90+deb13.1 以上修复内核；

Ubuntu 24.04：升级 6.17.0-22 后续安全内核，同时 AppArmor 加固限制非特权 userns。

05 参考资料

[1]https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=899ee91156e57784090c5565e4f31bd7dbffbc5a

[2]https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=d504a978572202ef43ac5ecfec2030adda64b13e

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。