Somisomair/CVE-2026-20698-PF_ROUTE-Heap-Overflow

# CVE-2026-20698 — 通过 PF_ROUTE RTA_GENMASK 触发 XNU 内核堆溢出 ## 概述 XNU 的路由套接字 (`PF_ROUTE`) 在 `route_msg()` 中处理 `RTA_GENMASK` 时存在堆缓冲区溢出。无需任何授权（entitlements），即可从无特权进程触发内核崩溃（kernel panic）。 - **CVE**：CVE-2026-20698（归功于 DARKNAVY） - **受影响版本**：iOS < 26.4，macOS < 26.4 - **已修复**：iOS 26.4（对超大的 genmask 直接返回 `ENOBUFS`，不再进行处理） - **影响**：内核崩溃 / 拒绝服务，潜在的堆破坏 - **Apple 报告**：OE110531644254（独立发现，因已被修复而关闭） ## 文件 - `pf_route_crash.c` — 最小化 PoC（触发内核崩溃） - `variant_probe.c` — 跨路由族变体分析 - `family_probe.c` — 路由族枚举探测 - `route_26_4_variants.c` — 补丁后（26.4）变体测试 - `genmask_escalate.c` — 提权尝试分析 - `variant_26_4_test.m` — iOS 应用变体测试 - `single_family.c` — 单路由族隔离测试 - `APPLE_SUBMISSION.md` — 原始 Apple Security Bounty 提交报告 - `panic_iphone17_26.3.1.ips` — 来自 iPhone 17 Pro Max 的内核崩溃日志 ## 说明 此 CVE 被正式分配给 **DARKNAVY**，他们先于我们进行了报告。我们通过内核源码分析以及在真实 iPhone 17 Pro Max 上的二进制测试，独立发现了同一个漏洞。我们的 Apple Security Bounty 提交 (OE110531644254) 被关闭，因为该问题已在 iOS 26.4 中被修复。 ## 研究员 Somair Ansar (somairansar71@gmail.com) 独立发现，提交于 29/03/2026。非原始报告者。

标签：0day, 0day挖掘, Apple安全, CISA项目, CVE-2026-20698, CVE监控, DARKNAVY, iOS, iOS26, Office文档漏洞, PF_ROUTE, PoC, RTA_GENMASK, Web报告查看器, XNU内核, 二进制分析, 云安全运维, 内存破坏, 内核Panic, 内核安全, 堆溢出, 客户端加密, 拒绝服务, 提权, 暴力破解, 源码审计, 漏洞分析, 网络安全, 路径探测, 路由套接字, 隐私保护