CVE-2026-46333｜Linux内核ptrace本地权限提升漏洞（POC）

0x00 前言

Linux系统是一种开源的类Unix操作系统内核，由于其强大的可定制性和稳定性，Linux已被广泛应用于服务器、移动设备、物联网设备等多个领域。

Linux系统在发展过程中吸引了全球范围内的开发者，形成了一个强大的社区。它采用了GNU通用公共许可证（GPL），这意味着它是自由开源的，并鼓励用户共享和修改代码。这也导致了许多不同的Linux发行版，如Ubuntu、Fedora、Debian等。

一些知名的Linux发行版本包括：
Ubuntu:由Canonical公司维护，以易用性和用户友好性而闻名。
Debian:以稳定性和自由软件的支持而著称，许多其他发行版基于Debian构建。
RHEL (Red Hat Enterprise Linux):面向企业市场，提供长期支持和专业的技术支持。
CentOS:由Red Hat公司提供支持，注重稳定性和企业应用。
Fedora:由Red Hat公司支持，注重创新和最新的软件。
Arch Linux:以简洁和灵活而著称，面向高级用户。
openSUSE:由openSUSE项目维护，有两个主要版本：Leap（稳定版）和Tumbleweed（滚动更新）。
Gentoo:以源代码为基础，允许用户根据自己的硬件和需求定制系统。
Slackware:是最古老的现代Linux发行版之一，注重简洁和纯净。
Manjaro:基于Arch Linux，提供易用性和用户友好的桌面环境。
Linux Mint:基于Ubuntu和Debian，注重用户友好性和多媒体支持。
Elementary OS:以漂亮的用户界面和直观的设计而著称。
Kali Linux:专注于网络安全和渗透测试，包含许多安全工具。
Alpine Linux:专注于轻量级和安全性，常用于容器化环境。

0x01 漏洞描述

CVE-2026-46333漏洞也被命名为"ssh-keysign-pwn"。

Linux内核__ptrace_may_access()函数存在逻辑缺陷：当目标进程的task->mm指针为NULL时（即内核调用 exit_mm() 后），会完全跳过 dumpable安全检查。

由于do_exit()的执行顺序是先清空mm指针再关闭文件描述符，攻击者可利用pidfd_getfd() 系统调用在mm=NULL但文件描述符仍存在的极短时间窗口内，窃取setuid程序打开的敏感文件描述符（如 /etc/shadow 或 SSH 私钥），从而以普通用户权限读取root拥有的任意文件，实现本地权限提升。

0x02 CVE编号

CVE-2026-46333

0x03 影响版本

Linux kernel 4.14 ~ 6.12.x  
Linux kernel 6.13.x ~ 6.18.21   
Linux kernel 6.19.x ~ 6.19.11

0x04 漏洞详情

POC：

https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn

0x05 参考链接

https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a