来源: Critical Wireshark Vulnerabilities Let Attackers Execute Arbitrary Code Via Malformed Packets
Wireshark是世界上使用最广泛的开源网络协议分析器,它发布了一项重大安全更新,修复了 40 多个漏洞,其中一些漏洞可以通过格式错误的数据包注入或恶意捕获文件执行任意代码。
依赖 Wireshark 进行网络监控、取证和流量分析的组织和个人应立即更新到 Wireshark 4.6.5。
关键代码执行缺陷
此版本中最严重的漏洞可能导致远程代码执行 (RCE),其影响远不止简单的拒绝服务攻击。已发现四个分析器和解析器存在漏洞:
- TLS Dissector (CVE-2026-5402) — 解析格式错误的 TLS 流量时可能发生崩溃并执行代码 (wnpa-sec-2026-14)
- SBC 编解码器 (CVE-2026-5403) — SBC 音频编解码器处理器 (wnpa-sec-2026-16) 中存在可能导致代码执行的崩溃漏洞
- RDP 解析器 (CVE-2026-5405) — 解析远程桌面协议数据包时可能发生崩溃并执行代码 (wnpa-sec-2026-17)
- 配置文件导入 (CVE-2026-5656) — 在配置文件导入操作期间可能触发代码执行的崩溃 (wnpa-sec-2026-21)
这些漏洞尤其危险,因为 Wireshark 在企业和安全运营中心 (SOC) 环境中通常以提升的权限运行,这意味着成功利用这些漏洞可能会使攻击者获得重要的系统访问权限。
通过 Dissector 崩溃发起的拒绝服务攻击
大部分已修复的漏洞会导致应用程序在特定协议解析器处理格式错误或恶意构造的数据包时崩溃。受影响的解析器涵盖多种协议:
- Monero(CVE-2026-5409)、BT-DHT(CVE-2026-5408)、FC-SWILS(CVE-2026-5406)、ICMPv6(CVE-2026-5299)
- AFP(CVE-2026-5401)、K12 RF5 文件解析器(CVE-2026-5404)、AMR-NB 编解码器(CVE-2026-5654)
- SDP(CVE-2026-5655)、iLBC 音频编解码器(CVE-2026-5657、CVE-2026-6529)、DCP-ETSI(CVE-2026-5653、CVE-2026-6530)
- BEEP(CVE-2026-6538)、ZigBee(CVE-2026-6537)、Kismet(CVE-2026-6532)
- ASN.1 PER(CVE-2026-6527)、RTSP(CVE-2026-6526)、IEEE 802.11(CVE-2026-6525)
- MySQL(CVE-2026-6524)、GSM RP(CVE-2026-6870)、WebSocket(CVE-2026-6869)、HTTP(CVE-2026-6868)
同一网段上的攻击者可以通过注入特制的数据包来触发这些崩溃,而无需进行身份验证或事先访问目标系统。
无限循环和资源枯竭
多个漏洞会导致无限循环,实际上会使 Wireshark 卡死,并在持续的拒绝服务状态下消耗系统资源:
- SMB2 解析器 (CVE-2026-5407) — 通过畸形 SMB2 流量导致无限循环 (wnpa-sec-2026-11)
- DLMS/COSEM(CVE-2026-6536)、USB HID(CVE-2026-6534)、SANE(CVE-2026-6531)
- GNW(CVE-2026-6523)、OpenFlow v5(CVE-2026-6521)、OpenFlow v6(CVE-2026-6520)
- MBIM(CVE-2026-6519)、RPKI-Router(CVE-2026-6522)、TLS Dissector(CVE-2026-6528)
这些基于循环的缺陷在 Wireshark 无人值守运行的自动化流量捕获管道中尤其成问题,因为单个格式错误的包就可能永久停止分析。
解压缩引擎漏洞
两个底层漏洞针对的是 Wireshark 的核心分析引擎,而不是单个协议解析器:
- zlib 解压缩崩溃 (CVE-2026-6535) — 影响问题 #21097 和 #21098,其中格式错误的压缩有效负载会破坏解压缩管道 (wnpa-sec-2026-26)
- LZ77 解压缩崩溃 (CVE-2026-6533) — 数据包剖析期间由格式错误的 LZ77 压缩数据触发的崩溃 (wnpa-sec-2026-28)
这些引擎级缺陷会影响任何使用压缩有效载荷的协议,从而大大扩大了攻击面,使其超出特定协议解析器的范围。
受影响版本及修复方案
| 成分 | 漏洞类型 | CVE 示例 |
|---|---|---|
| TLS、RDP、SBC、配置文件导入 | 崩溃 + 可能的代码执行 | CVE-2026-5402、5403、5405、5656 |
| SMB2、TLS、MBIM、OpenFlow | 无限循环/拒绝服务攻击 | CVE-2026-5407、6528、6519、6521 |
| 多个解剖器(20+) | 解剖器崩溃/拒绝服务 | CVE-2026-5299 至 CVE-2026-6870 |
| 解剖引擎 | zlib/LZ77 解压缩崩溃 | CVE-2026-6535、CVE-2026-6533 |
Wireshark 团队指出,此次修复部分归功于人工智能辅助漏洞报告功能,该功能加速了多个协议模块的漏洞发现。强烈建议用户立即通过Wireshark 官方下载页面更新至最新的 Wireshark 4.6.5 补丁版本。
鉴于 TLS、RDP 和 SBC 组件中存在代码执行的可能性,在实时捕获或 SIEM 集成模式下运行 Wireshark 的组织应将此更新视为一项至关重要的优先事项。