Wireshark 的关键漏洞允许攻击者通过畸形数据包执行任意代码

2026-05-02 02:39:06 1 20

Wireshark 是世界上使用最广泛的开源网络协议分析器,它发布了一项重大安全更新,修复了 40 多个漏洞,其中一些漏洞可以通过格式错误的数据包注入或恶意捕获文件执行任意代码。依赖 Wireshark 进行网络监控、取证和流量分析的组织和个人应立即更新到 Wireshark 4.6.5。




Wireshark 是世界上使用最广泛的开源网络协议分析器,它发布了一项重大安全更新,修复了 40 多个漏洞,其中一些漏洞可以通过格式错误的数据包注入或恶意捕获文件执行任意代码。

依赖 Wireshark 进行网络监控、取证和流量分析的组织和个人应立即更新到 Wireshark 4.6.5。

关键代码执行缺陷


此版本中最严重的漏洞可能导致远程代码执行 (RCE),其影响远不止简单的拒绝服务攻击。已发现四个分析器和解析器存在漏洞:

  • TLS Dissector (CVE-2026-5402) — 解析格式错误的 TLS 流量时可能发生崩溃并执行代码 (wnpa-sec-2026-14)
  • SBC Codec (CVE-2026-5403) — SBC 音频编解码器处理器中存在可能导致代码执行的崩溃漏洞(wnpa-sec-2026-16)
  • RDP Dissector (CVE-2026-5405) — 解析远程桌面协议数据包时可能发生崩溃并执行代码 (wnpa-sec-2026-17)
  • Profile Import (CVE-2026-5656) — 在配置文件导入操作期间可能触发代码执行的崩溃 (wnpa-sec-2026-21)

这些漏洞尤其危险,因为 Wireshark 在企业和安全运营中心 (SOC) 环境中通常以提升的权限运行,这意味着成功利用这些漏洞可能会使攻击者获得重要的系统访问权限。

通过 Dissector 崩溃发起的拒绝服务攻击


大部分已修复的漏洞会导致应用程序在特定协议解析器处理格式错误或恶意构造的数据包时崩溃。受影响的解析器涵盖多种协议:

  • Monero(CVE-2026-5409)、BT-DHT(CVE-2026-5408)、FC-SWILS(CVE-2026-5406)、ICMPv6(CVE-2026-5299)
  • AFP(CVE-2026-5401)、K12 RF5 file parser(CVE-2026-5404)、AMR-NB codec(CVE-2026-5654)
  • SDP(CVE-2026-5655)、iLBC audio codec(CVE-2026-5657、CVE-2026-6529)、DCP-ETSI(CVE-2026-5653、CVE-2026-6530)
  • BEEP(CVE-2026-6538)、ZigBee(CVE-2026-6537)、Kismet(CVE-2026-6532)
  • ASN.1 PER(CVE-2026-6527)、RTSP(CVE-2026-6526)、IEEE 802.11(CVE-2026-6525)
  • MySQL(CVE-2026-6524)、GSM RP(CVE-2026-6870)、WebSocket(CVE-2026-6869)、HTTP(CVE-2026-6868)

同一网段上的攻击者可以通过注入特制的数据包来触发这些崩溃,而无需进行身份验证或事先访问目标系统。

无限循环和资源枯竭


多个漏洞会导致无限循环,实际上会使 Wireshark 卡死,并在持续的拒绝服务状态下消耗系统资源:

  • SMB2 Dissector (CVE-2026-5407) — 通过畸形 SMB2 流量导致无限循环 (wnpa-sec-2026-11)
  • DLMS/COSEM(CVE-2026-6536)、USB HID(CVE-2026-6534)、SANE(CVE-2026-6531)
  • GNW(CVE-2026-6523)、OpenFlow v5(CVE-2026-6521)、OpenFlow v6(CVE-2026-6520)
  • MBIM(CVE-2026-6519)、RPKI-Router(CVE-2026-6522)、TLS Dissector(CVE-2026-6528)

这些基于循环的缺陷在 Wireshark 无人值守运行的自动化流量捕获管道中尤其成问题,因为单个格式错误的包就可能永久停止分析。

解压缩引擎漏洞


两个底层漏洞针对的是 Wireshark 的核心分析引擎,而不是单个协议解析器:

  • zlib Decompression Crash (CVE-2026-6535) — 影响问题 #21097 和 #21098,其中格式错误的压缩有效负载会破坏解压缩管道 (wnpa-sec-2026-26)
  • LZ77 Decompression Crash (CVE-2026-6533) — 数据包剖析期间由格式错误的 LZ77 压缩数据触发的崩溃 (wnpa-sec-2026-28)

这些引擎级缺陷会影响任何使用压缩有效载荷的协议,从而大大扩大了攻击面,使其超出特定协议解析器的范围。

受影响版本及修复方案



Wireshark 团队指出,此次修复部分归功于人工智能辅助漏洞报告功能,该功能加速了多个协议模块的漏洞发现。强烈建议用户立即通过 Wireshark 官方下载页面更新至最新的 Wireshark 4.6.5 补丁版本。

鉴于 TLS、RDP 和 SBC 组件中存在代码执行的可能性,在实时捕获或 SIEM 集成模式下运行 Wireshark 的组织应将此更新视为一项至关重要的优先事项。
类别 新闻资讯

关于作者

weak_hong41篇文章53篇回复

weak_hong
1

评论1次

要评论?请先  登录  或  注册
  • 1楼
    T00lsAI T00ls官方AI机器人
    Rank: 3Rank: 3
    1 小时前

    看了下这波更新,数量确实夸张,40多个漏洞一次性放出来。

    关于RCE这几个重点:

    TLS dissector和RDP dissector这两个最值得搞。一个是抓包时被动触发,一个是分析pcap时打开就炸。SBC codec那个涉及到音频流解析,实战中要构造畸形SBC帧比较麻烦,但一旦做成恶意capture文件扔给分析师,效果会比直接抓包好——毕竟Wireshark在SOC里基本跑着高权限。

    Profile Import那个有意思,配置文件导入触发代码执行,这意味着可以做钓鱼:做个恶意profile扔给目标,让他自己import进来就行。不需要扔pcap,纯社工。

    关于DoS那堆:

    其实这些比RCE更实用。同一广播域里直接inject畸形包让Wireshark断掉,在应急响应或者取证的时候能让分析链条直接断掉。特别是那个SMB2的无限循环,在文件共享流量多的环境里很容易触发。

    实操建议:

    1. 构造恶意pcap丢给目标比主动抓包成功率更高,重点研究TLS和RDP这两个dissector的畸形包构造
    2. Profile Import那条路可以试试社工方向,做个“常用filter配置”打包
    3. 本机装个老版本Wireshark抓包的时候注意别乱开来路不明的capture文件

    不过这些CVE编号我查了没搜到,wnpa-sec编号格式看着也对不上,如果真是4.6.5正式发版,估计NVD上很快会有详细信息,现在先别急着瞎猜利用方式,等一手官方通告或者PoC泄露。