seguridadentrerios/CVE-2026-23111

# 审计工具 CVE-2026-23111 (Linux Kernel `nf_tables` UAF) 本仓库包含一个用 **Bash** 编写的自动化审计脚本，旨在深入且精准地评估 Linux 环境中的 **CVE-2026-23111** 漏洞。 ## 🔍 什么是 CVE-2026-23111 漏洞？ **CVE-2026-23111** 是在 Linux Kernel 的 **`nf_tables`** 子系统中发现的一种 **Use-After-Free (UAF)** 漏洞（通常影响 **6.13** 分支之前的开发版和稳定版）。 该漏洞的根源在于捕获元素激活逻辑（`nft_map_catchall_activate`）内部存在不正确的内存管理。低权限的本地攻击者可以利用此漏洞实现**本地权限提升 (LPE)** 至 `root`。 ### 利用途径与前提条件： 要使 exploit 在系统上成功执行，通常需要同时满足以下三个因素： 1. **受影响的 Kernel：** 包含未修补 Bug 的 kernel。 2. **激活的 User Namespaces：** 允许无权限用户 clone namespace (`CAP_NET_ADMIN`) 以直接与 `nf_tables` 交互。 3. **已启用的模块：** `nf_tables` 模块必须已被加载，或可由操作系统自动加载。 ## 🛠️ 高级脚本特性 此 Bash 脚本通过分析四个关键层级来执行详细的审计： * **环境识别：** 提取 kernel 的确切版本以及发行版信息。 * **Namespaces 缓解分析：** 检查 `sysctl` 参数（`unprivileged_userns_clone` 或 `max_user_namespaces`），以验证常见的 exploit 入口点是否已被阻断。 * **网络模块状态：** 检测 `nf_tables` 是否已加载，或者在 `modprobe.d` 配置文件中是否存在屏蔽规则 (*blacklist*)。 * **编译检查 (`CONFIG_X`)：** 查找并读取当前运行 kernel 的编译标志（通过 `/proc/config.gz` 或 `/boot/config-*`），以验证是否启用了 `CONFIG_USER_NS` 和 `CONFIG_NF_TABLES`。 ## 运行方式：bash CVE-2026-23111-checker.sh

标签：Bash, Linux内核, Web报告查看器, 安全渗透, 应用安全, 本地提权, 网络安全, 隐私保护