文章总结： Wireshark4.6.5修复了40余个高危漏洞，其中TLS、SBC、RDP解析器及配置文件导入功能存在远程代码执行风险，20多个协议解析器存在崩溃或无限循环漏洞，zlib/LZ77解压缩引擎漏洞影响广泛。建议用户立即升级至4.6.5版本，尤其在实时抓包环境中需优先处理。 综合评分： 87 文章分类： 漏洞预警,漏洞分析,网络安全,解决方案,安全工具

【安全圈】Wireshark 高危漏洞可致攻击者通过畸形数据包执行任意代码

安全圈

2026年5月4日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

高危漏洞

全球使用最广泛的开源网络协议分析工具 Wireshark 近日发布重大安全更新，修复了 40 余个漏洞，其中多个漏洞允许攻击者通过注入畸形数据包或恶意抓包文件实现任意代码执行。依赖 Wireshark 进行网络监控、取证分析和流量检测的企业及个人用户应立即升级至 Wireshark 4.6.5 版本。

关键代码执行漏洞

本次更新中最严重的漏洞具有远程代码执行（RCE）风险，远超简单的拒绝服务影响范围。已发现四个解析器存在安全隐患：

• TLS 解析器（CVE-2026-5402）—— 处理畸形 TLS 流量时可能导致崩溃并执行代码（wnpa-sec-2026-14）
• SBC 编解码器（CVE-2026-5403）—— SBC 音频编解码处理器存在崩溃及代码执行风险（wnpa-sec-2026-16）
• RDP 解析器（CVE-2026-5405）—— 解析远程桌面协议数据包时可能触发崩溃并执行代码（wnpa-sec-2026-17）
• 配置文件导入功能（CVE-2026-5656）—— 导入配置文件操作期间可能引发崩溃并执行代码（wnpa-sec-2026-21）

这些漏洞危害性极高，因为企业及安全运营中心（SOC）环境中的 Wireshark 通常以高权限运行，成功利用可令攻击者获取系统高级访问权限。

解析器崩溃导致的拒绝服务

大部分已修复漏洞会在特定协议解析器处理畸形或恶意构造的数据包时引发程序崩溃，受影响协议包括：

• Monero（CVE-2026-5409）、BT-DHT（CVE-2026-5408）、FC-SWILS（CVE-2026-5406）、ICMPv6（CVE-2026-5299）
• AFP（CVE-2026-5401）、K12 RF5 文件解析器（CVE-2026-5404）、AMR-NB 编解码器（CVE-2026-5654）
• SDP（CVE-2026-5655）、iLBC 音频编解码器（CVE-2026-5657、CVE-2026-6529）、DCP-ETSI（CVE-2026-5653、CVE-2026-6530）
• BEEP（CVE-2026-6538）、ZigBee（CVE-2026-6537）、Kismet（CVE-2026-6532）
• ASN.1 PER（CVE-2026-6527）、RTSP（CVE-2026-6526）、IEEE 802.11（CVE-2026-6525）
• MySQL（CVE-2026-6524）、GSM RP（CVE-2026-6870）、WebSocket（CVE-2026-6869）、HTTP（CVE-2026-6868）

同一网段的攻击者无需认证或系统访问权限，仅需注入特制数据包即可触发这些崩溃。

无限循环与资源耗尽

部分漏洞会导致无限循环，使 Wireshark 挂起并持续消耗系统资源：

• SMB2 解析器（CVE-2026-5407）—— 畸形 SMB2 流量引发无限循环（wnpa-sec-2026-11）
• DLMS/COSEM（CVE-2026-6536）、USB HID（CVE-2026-6534）、SANE（CVE-2026-6531）
• GNW（CVE-2026-6523）、OpenFlow v5（CVE-2026-6521）、OpenFlow v6（CVE-2026-6520）
• MBIM（CVE-2026-6519）、RPKI-Router（CVE-2026-6522）、TLS 解析器（CVE-2026-6528）

这些循环类漏洞对自动化流量捕获管道影响尤为严重——在无人值守运行的场景下，单个畸形数据包即可永久中断分析进程。

解压缩引擎漏洞

两个底层漏洞影响 Wireshark 核心解析引擎而非特定协议解析器：

• zlib 解压缩崩溃（CVE-2026-6535）

  —— 畸形压缩载荷会破坏解压缩流程（涉及 Issues #21097 和 #21098，wnpa-sec-2026-26）

• LZ77 解压缩崩溃（CVE-2026-6533）

  —— 数据包解析期间处理畸形 LZ77 压缩数据时触发崩溃（wnpa-sec-2026-28）

这些引擎级漏洞影响所有使用压缩载荷的协议，显著扩大了攻击面。

受影响版本与修复方案

| 组件 | 漏洞类型 | 典型 CVE 编号 | | — | — | — | | TLS/RDP/SBC/配置文件导入 | 崩溃+代码执行 | CVE-2026-5402/5403/5405/5656 | | SMB2/TLS/MBIM/OpenFlow | 无限循环/DoS | CVE-2026-5407/6528/6519/6521 | | 20+协议解析器 | 解析器崩溃/DoS | CVE-2026-5299 至 CVE-2026-6870 | | 解析引擎 | zlib/LZ77 解压缩崩溃 | CVE-2026-6535/6533 |

Wireshark 团队指出，本次修复部分得益于 AI 辅助漏洞报告机制，该技术同时加速了多个协议模块的漏洞发现进程。用户应立即通过官方下载页面升级至 Wireshark 4.6.5。鉴于 TLS、RDP 和 SBC 组件存在代码执行风险，在实时抓包或 SIEM 集成环境中运行 Wireshark 的企业应将此更新列为最高优先级。

END

阅读推荐

【安全圈】远程篡改政府招投标数据将对手评分改低，两人获刑

【安全圈】9人假借招聘骗走大量个人信息 非法贩卖信息获利数十万

【安全圈】官方 SAP npm 软件包遭入侵，用于窃取凭证

【安全圈】十天 39 个公开 CVE

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Wireshark 高危漏洞可致攻击者通过畸形数据包执行任意代码》