文章总结： LinuxKernelPinTheft权限提升漏洞存在于RDS零拷贝发送机制中，当页面处理异常时内核可能错误释放已锁定页面的引用计数，导致低权限用户可通过iouring机制篡改页缓存并修改SUID-root程序提升至root权限。影响启用CONFIGRDS、CONFIGRDSTCP和CONFIGIOURING配置的Linux内核版本。建议升级内核至修复版本或通过rmmod禁用RDS模块临时防护。 综合评分： 86 文章分类： 漏洞分析,应急响应,解决方案,漏洞预警,终端安全

【漏洞通告】Linux Kernel PinTheft 权限提升漏洞

深瞳漏洞实验室 深瞳漏洞实验室

深信服千里目安全技术中心

2026年5月21日 17:54 北京

在小说阅读器读本章

去阅读

漏洞名称：

Linux Kernel PinTheft 权限提升漏洞(SF_2026_16445)

组件名称：

Linux Kernel

影响范围：

启用 CONFIG_RDS、CONFIG_RDS_TCP 和 CONFIG_IO_URING 配置，且 io_uring_disabled=0、RDS/RDS_TCP 模块可用或可自动加载的 Linux 内核版本。

漏洞类型：

权限提升

利用条件：

1、用户认证：需要用户认证

2、前置条件：

① 启用了 CONFIG_RDS、CONFIG_RDS_TCP、CONFIG_IO_URING

② io_uring_disabled=0

③ RDS/RDS_TCP 模块存在并可用或可被自动加载

④ 系统存在可读的 SUID-root 二进制程序

3、触发方式：本地

综合评价：

<综合评定利用难度>：中等，需要本地低权限执行条件。

<综合评定威胁等级>：高危，可提升至root权限。

官方解决方案：

已发布

漏洞分析

组件介绍

Linux内核（Linux Kernel）是一个开源的操作系统内核，它是Linux操作系统的核心组件，负责管理计算机的硬件资源，并提供了许多系统服务，如进程管理、内存管理、文件系统管理和设备驱动程序等。

漏洞描述

2026年5月20日，深瞳漏洞实验室监测到一则Linux Kernel组件存在权限提升漏洞的信息，漏洞威胁等级：高危。

Linux Kernel PinTheft 是 RDS 零拷贝发送机制中的本地权限提升漏洞。漏洞出现在用户页锁定与错误回收流程中，当页面处理过程中发生异常时，内核可能对已锁定页面执行异常的引用计数释放，同时相关零拷贝状态未被正确清理，导致页面引用计数失衡。低权限本地用户可配合 io_uring 固定缓冲区机制扩大该问题影响，进一步实现页缓存篡改，并可能通过修改 SUID-root 程序内容植入载荷，最终提升至 root 权限。该漏洞利用依赖 RDS/RDS_TCP 模块可用性，默认允许相关模块加载的发行版风险更高。

影响范围

目前受影响的Linux Kernel版本：

启用 CONFIG_RDS、CONFIG_RDS_TCP 和 CONFIG_IO_URING 配置，且 io_uring_disabled=0、RDS/RDS_TCP 模块可用或可自动加载的 Linux 内核版本。

检查方法：

①检查内核是否启用 RDS、RDS_TCP 和 IO_URING

grep -E ‘CONFIG_(RDS|RDS_TCP|IO_URING)=’ /boot/config-$(uname -r) 2>/dev/null || zgrep -E ‘CONFIG_(RDS|RDS_TCP|IO_URING)=’ /proc/config.gz 2>/dev/null

如果出现

CONFIG_RDS=m或者y

CONFIG_RDS_TCP=m或者y

CONFIG_IO_URING=y

证明系统满足漏洞所需的核心内核配置条件

cat /proc/sys/kernel/io_uring_disabled

②检查 io_uring 是否开启

cat /proc/sys/kernel/io_uring_disabled

如果出现0，即可证明当前系统未禁用 io_uring

③检查 RDS/RDS_TCP 模块是否可加载

modprobe -n -v rds; modprobe -n -v rds_tcp

如果可正常加载模块，即可证明 RDS/RDS_TCP 模块未被有效禁用

④检查系统是否存在可读 SUID-root 程序

find /usr/bin /bin /usr/sbin /sbin -maxdepth 1 -type f -perm -4000 -readable -print 2>/dev/null

如果输出对应路径，即可证明系统存在可读 SUID-root 目标程序。

解决方案

官方修复建议

目前官方已有可更新版本，建议尽快将 Linux 内核升级至包含修复补丁的版本。 下载地址： https://lore.kernel.org/netdev/[email protected]/

临时修复建议

如果业务不需要 RDS 功能，建议卸载并禁用 RDS 模块：

rmmod rds_tcp rdsprintf ‘install rds /bin/false\ninstall rds_tcp /bin/false\n’ > /etc/modprobe.d/pintheft.conf

深信服解决方案

漏洞主动检测

支持对Linux Kernel PinTheft 权限提升漏洞(SF_2026_16445)的主动检测，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服云镜YJ】预计2026年05月30日发布检测方案，规则ID:SF-2026-00917。

【深信服可拓展检测响应平台XDR】预计2026年05月30日发布检测方案（需要具备云镜组件能力），规则ID:SF-2026-00917。

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897

时间轴

2026/05/20

深瞳漏洞实验室监测到Linux Kernel PinTheft 权限提升漏洞信息。

2026/05/21

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深信服千里目安全技术中心 深瞳漏洞实验室 深瞳漏洞实验室《【漏洞通告】Linux Kernel PinTheft 权限提升漏洞》