【安全圈】Wireshark 高危漏洞可致攻擊者通過(guò)畸形數(shù)據(jù)包執(zhí)行任意代碼

關(guān)鍵詞

高危漏洞

全球使用最廣泛的開(kāi)源網(wǎng)絡(luò)協(xié)議分析工具 Wireshark 近日發(fā)布重大安全更新，修復(fù)了 40 余個(gè)漏洞，其中多個(gè)漏洞允許攻擊者通過(guò)注入畸形數(shù)據(jù)包或惡意抓包文件實(shí)現(xiàn)任意代碼執(zhí)行。依賴 Wireshark 進(jìn)行網(wǎng)絡(luò)監(jiān)控、取證分析和流量檢測(cè)的企業(yè)及個(gè)人用戶應(yīng)立即升級(jí)至 Wireshark 4.6.5 版本。

關(guān)鍵代碼執(zhí)行漏洞

本次更新中最嚴(yán)重的漏洞具有遠(yuǎn)程代碼執(zhí)行（RCE）風(fēng)險(xiǎn)，遠(yuǎn)超簡(jiǎn)單的拒絕服務(wù)影響范圍。已發(fā)現(xiàn)四個(gè)解析器存在安全隱患：

• TLS 解析器（CVE-2026-5402）—— 處理畸形 TLS 流量時(shí)可能導(dǎo)致崩潰并執(zhí)行代碼（wnpa-sec-2026-14）

• SBC 編解碼器（CVE-2026-5403）—— SBC 音頻編解碼處理器存在崩潰及代碼執(zhí)行風(fēng)險(xiǎn)（wnpa-sec-2026-16）

• RDP 解析器（CVE-2026-5405）—— 解析遠(yuǎn)程桌面協(xié)議數(shù)據(jù)包時(shí)可能觸發(fā)崩潰并執(zhí)行代碼（wnpa-sec-2026-17）

• 配置文件導(dǎo)入功能（CVE-2026-5656）—— 導(dǎo)入配置文件操作期間可能引發(fā)崩潰并執(zhí)行代碼（wnpa-sec-2026-21）

這些漏洞危害性極高，因?yàn)槠髽I(yè)及安全運(yùn)營(yíng)中心（SOC）環(huán)境中的 Wireshark 通常以高權(quán)限運(yùn)行，成功利用可令攻擊者獲取系統(tǒng)高級(jí)訪問(wèn)權(quán)限。

解析器崩潰導(dǎo)致的拒絕服務(wù)

大部分已修復(fù)漏洞會(huì)在特定協(xié)議解析器處理畸形或惡意構(gòu)造的數(shù)據(jù)包時(shí)引發(fā)程序崩潰，受影響協(xié)議包括：

• Monero（CVE-2026-5409）、BT-DHT（CVE-2026-5408）、FC-SWILS（CVE-2026-5406）、ICMPv6（CVE-2026-5299）

• AFP（CVE-2026-5401）、K12 RF5 文件解析器（CVE-2026-5404）、AMR-NB 編解碼器（CVE-2026-5654）

• SDP（CVE-2026-5655）、iLBC 音頻編解碼器（CVE-2026-5657、CVE-2026-6529）、DCP-ETSI（CVE-2026-5653、CVE-2026-6530）

• BEEP（CVE-2026-6538）、ZigBee（CVE-2026-6537）、Kismet（CVE-2026-6532）

• ASN.1 PER（CVE-2026-6527）、RTSP（CVE-2026-6526）、IEEE 802.11（CVE-2026-6525）

• MySQL（CVE-2026-6524）、GSM RP（CVE-2026-6870）、WebSocket（CVE-2026-6869）、HTTP（CVE-2026-6868）

同一網(wǎng)段的攻擊者無(wú)需認(rèn)證或系統(tǒng)訪問(wèn)權(quán)限，僅需注入特制數(shù)據(jù)包即可觸發(fā)這些崩潰。

無(wú)限循環(huán)與資源耗盡

部分漏洞會(huì)導(dǎo)致無(wú)限循環(huán)，使 Wireshark 掛起并持續(xù)消耗系統(tǒng)資源：

• SMB2 解析器（CVE-2026-5407）—— 畸形 SMB2 流量引發(fā)無(wú)限循環(huán)（wnpa-sec-2026-11）

• DLMS/COSEM（CVE-2026-6536）、USB HID（CVE-2026-6534）、SANE（CVE-2026-6531）

• GNW（CVE-2026-6523）、OpenFlow v5（CVE-2026-6521）、OpenFlow v6（CVE-2026-6520）

• MBIM（CVE-2026-6519）、RPKI-Router（CVE-2026-6522）、TLS 解析器（CVE-2026-6528）

這些循環(huán)類漏洞對(duì)自動(dòng)化流量捕獲管道影響尤為嚴(yán)重——在無(wú)人值守運(yùn)行的場(chǎng)景下，單個(gè)畸形數(shù)據(jù)包即可永久中斷分析進(jìn)程。

解壓縮引擎漏洞

兩個(gè)底層漏洞影響 Wireshark 核心解析引擎而非特定協(xié)議解析器：

• zlib 解壓縮崩潰（CVE-2026-6535）

  —— 畸形壓縮載荷會(huì)破壞解壓縮流程（涉及 Issues 和 ，wnpa-sec-2026-26）

• LZ77 解壓縮崩潰（CVE-2026-6533）

  —— 數(shù)據(jù)包解析期間處理畸形 LZ77 壓縮數(shù)據(jù)時(shí)觸發(fā)崩潰（wnpa-sec-2026-28）

這些引擎級(jí)漏洞影響所有使用壓縮載荷的協(xié)議，顯著擴(kuò)大了攻擊面。

受影響版本與修復(fù)方案

組件

漏洞類型

典型 CVE 編號(hào)

TLS/RDP/SBC/配置文件導(dǎo)入

崩潰+代碼執(zhí)行

CVE-2026-5402/5403/5405/5656

SMB2/TLS/MBIM/OpenFlow

無(wú)限循環(huán)/DoS

CVE-2026-5407/6528/6519/6521

20+協(xié)議解析器

解析器崩潰/DoS

CVE-2026-5299 至 CVE-2026-6870

解析引擎

zlib/LZ77 解壓縮崩潰

CVE-2026-6535/6533

Wireshark 團(tuán)隊(duì)指出，本次修復(fù)部分得益于 AI 輔助漏洞報(bào)告機(jī)制，該技術(shù)同時(shí)加速了多個(gè)協(xié)議模塊的漏洞發(fā)現(xiàn)進(jìn)程。用戶應(yīng)立即通過(guò)官方下載頁(yè)面升級(jí)至 Wireshark 4.6.5。鑒于 TLS、RDP 和 SBC 組件存在代碼執(zhí)行風(fēng)險(xiǎn)，在實(shí)時(shí)抓包或 SIEM 集成環(huán)境中運(yùn)行 Wireshark 的企業(yè)應(yīng)將此更新列為最高優(yōu)先級(jí)。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！