文章总结： CVE-2026-46316是Linux内核KVM/arm64架构下vGIC-ITS实现中的竞争条件漏洞，攻击者可通过Guest内核权限利用UAF实现虚拟机逃逸。漏洞影响2024年4月至2026年6月期间的多个内核版本，官方已发布补丁修复引用计数错误。360漏洞研究院已成功复现该漏洞，建议用户立即升级内核或应用安全补丁。 综合评分： 87 文章分类： 漏洞分析,应急响应,云安全,内核漏洞,虚拟化安全

与 ITS 竞速：KVM/arm64 虚拟机逃逸漏洞已复现

原创

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年6月12日 11:23 四川

在小说阅读器读本章

去阅读

CVE-2026-46316，又名 ITScape，是 Linux Kernel KVM/arm64 架构下 vGIC-ITS（Virtual GIC Interrupt Translation Service，虚拟 GIC 中断转换服务）实现中存在的虚拟机逃逸漏洞（CVSS 3.1 评分：7.0）。攻击者在具备来宾虚拟机内核态权限的前提下，可利用竞争条件完成从来宾机（Guest）到宿主机（Host）的逃逸，破坏 KVM/arm64 多租户虚拟化环境的隔离机制。此漏洞影响范围较广，建议相关用户立即完成版本升级。

利用前置条件：

• 目标宿主机运行 Linux KVM/arm64，并启用了受影响的 vGIC-ITS 虚拟中断服务
• 具备来宾虚拟机内核态权限

目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节，建议用户立即升级。

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | KVM UAF 漏洞 | | | | 漏洞编号 | CVE-2026-46316 | | | | 公开时间 | 2026-06-09 | POC状态 | 已公开 | | 漏洞类型 | 条件竞争 / UAF | EXP状态 | 已公开 | | 利用可能性 | 高 | 技术细节状态 | 已公开 | | CVSS 3.1 | 7 | 在野利用状态 | 未发现 |

01

漏洞影响范围

受影响架构仅限于 arm64（aarch64），x86 及其他架构不受影响。

漏洞由 commit：

• 8201d1028caa4fae88e222c4e8cf541fdf45b821 于 2024 年 4 月 25 日引入。

修复 commit：

• 13031fb6b8357fbbcded2a7f4cba73e4781ee594 于 2026 年 6 月 5 日合入 mainline。

影响周期约 25 个月（2024-04-25 至 2026-06-05）。

漏洞自 6.10 被引入，其中各个版本的修复情况如下：

• 6.12 在 6.12.93 被修复；
• 6.18 在 6.18.35 被修复；
• 7.0 在 7.0.12 被修复；
• 7.1 在 7.1-rc7 被修复。

其余中间版本均受此漏洞影响。

02

修复建议

正式防护方案

官方已通过以下补丁完成漏洞修复：

diff --git a/arch/arm64/kvm/vgic/vgic-its.c b/arch/arm64/kvm/vgic/vgic-its.cindex 1d7e5d560af4c..1e3706ac3b8e9 100644--- a/arch/arm64/kvm/vgic/vgic-its.c+++ b/arch/arm64/kvm/vgic/vgic-its.c@@ -597,8 +597,10 @@ staticvoidvgic_its_invalidate_cache(struct vgic_its *its)   unsignedlong idx;
   xa_for_each(&its->translation_cache, idx, irq) {-    xa_erase(&its->translation_cache, idx);-    vgic_put_irq(kvm, irq);+    /* Only the context that erases the entry drops its cache ref. */+    irq = xa_erase(&its->translation_cache, idx);+    if (irq)+      vgic_put_irq(kvm, irq);   } }

补丁核心改动（arch/arm64/kvm/vgic/vgic-its.c）将 vgic_its_invalidate_cache() 中原有的直接调用 vgic_put_irq(kvm, irq) 改为先将 xa_erase() 的返回值赋给 irq，仅当 irq 非空时才调用 vgic_put_irq()，确保每个缓存条目引用只被释放一次。

03

漏洞描述

CVE-2026-46316（ITScape）是 Linux 内核 KVM/arm64 中 vGIC-ITS 仿真层的竞争条件漏洞，由安全研究员 Hyunwoo Kim（@v4bel）发现并报告。漏洞根因位于 Linux  内核 KVM/arm64 vGIC-ITS（arch/arm64/kvm/vgic/vgic-its.c）的 vgic_its_invalidate_cache() 函数中。该函数在遍历并清空 per-ITS translation cache 时仅持有 rcu_read_lock，而未获取保护 ITS 操作的 its_lock 或 cmd_lock；同时，代码错误地对循环迭代变量调用 vgic_put_irq()，而非对 xa_erase() 的实际返回值操作，导致多个并发上下文可对同一 vgic_irq 对象（kmalloc-cg-96 slab）双重递减引用计数，进而触发过早释放导致 Use-After-Free。

攻击者需要以Guest的ROOT或者KVM组权限操作，通过协调多个 vCPU 同时清除 GICR_CTLR.EnableLPIs 位，并配合预先填充 translation cache，触发多路并发 cache drain，实现目标 slab 对象的释放。随后利用 guest_memfd 跨缓存重占（cross-cache reclaim）、两阶段 KASLR 泄露、任意写原语（write-what-where）等技术，最终将 arp_tbl.gc_work.work.func 覆写为 orderly_poweroff 并将 poweroff_cmd 替换为攻击者控制的宿主机命令，在稍后以宿主机内核 root 权限执行任意命令，完成 Guest 虚拟机逃逸。与常见 QEMU 逃逸不同，该漏洞存在于内核 KVM 代码中，可绕过 QEMU 隔离层直接获得宿主机内核权限，对多租户 arm64 云环境构成严重威胁。

04

漏洞复现

360漏洞研究院已成功复现 KVM UAF漏洞（CVE-2026-46316），实现从 Guest 到 Host 的逃逸，并在宿主机内核上下文中执行代码。

CVE-2026-46316 KVM UAF 漏洞复现

05

时间线

2026年6月12日，360漏洞研究院发布本安全风险通告。

06

参考链接

https://github.com/V4bel/ITScape https://github.com/torvalds/linux/commit/13031fb6b8357fbbcded2a7f4cba73e4781ee594

07

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《与 ITS 竞速：KVM/arm64 虚拟机逃逸漏洞已复现》