文章总结： Linux内核加密子系统存在高危本地权限提升漏洞（CVE-2026-31431），攻击者可通过AFALG套接字和splice系统调用篡改高权限进程获取root权限。影响Ubuntu、RHEL等主流发行版，云服务器与容器环境威胁显著。处置建议包括立即升级内核或禁用algifaead模块，漏洞利用代码已公开需优先处理。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,云安全,解决方案

Linux内核存在本地权限提升漏洞

原创

guowei guowei

网络安全直通车

2026年5月1日 20:35 北京

在小说阅读器读本章

去阅读

漏洞概述

漏洞编号：CNTA-2026-0002（CNVD-2026-19044，对应CVE-2026-31431）

发布日期：2026年4月30日

漏洞类型：Linux内核本地权限提升漏洞

危险等级：高危

漏洞详情

Linux内核加密子系统存在逻辑处理缺陷，本地普通权限用户可通过组合AF_ALG套接字和splice系统调用，向可读文件或SUID程序的页缓存中写入4字节数据，从而篡改setuid等高权限进程，最终获得root权限。

影响范围

受影响系统

默认启用或可加载 algif_aead 模块的Linux发行版：

Ubuntu 24.04 LTS及以下

Amazon Linux 2023及以下

RedHat Enterprise Linux 10/9/8及以下

SUSE 16及以下

Debian、Arch、Fedora、Rocky、Alma、Oracle等同期内核版本

内核版本范围

受影响提交： commit 72548b093ee3 ≤ version < commit a664bf3d603d

未受影响版本：内核主线7.0+、稳定版6.18.22+、稳定版6.19.12+

高危场景

共享服务器（多租户主机、开发机、跳板机）

Kubernetes和容器集群

CI/CD执行器（GitHub Actions、GitLab Runner、Jenkins等）

处置建议

根本解决方案

立即升级至官方修复版本：https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

临时缓解措施

禁用algif_aead内核模块

通过seccomp或运行安全策略，阻断容器内AF_ALG socket创建

重要提醒

漏洞利用代码已公开

安天公司报告已发现漏洞在野利用情况

特别建议云服务器、容器宿主机、多租户环境用户立即采取行动

该漏洞对云计算和容器化环境威胁较大，建议相关管理员优先处理。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全直通车 guowei guowei《Linux内核存在本地权限提升漏洞》