CVE-2026-7762 (CVSS 9.8) - A heap-based buffer overflow vulnerability in the dot11ah.ko HaLow Wi-Fi kernel
CVE-2026-7762是Morse Micro HaLowLink 2软件(<2.11.13)中dot11ah.ko驱动的一个严重堆缓冲区溢出漏洞,CVSS 9.8。攻击者可通过发送特制的802.11ah Beacon或Probe Response帧(含恶意S1G Capabilities IE)触发,无需认证,导致内核崩溃或远程代码执行。立即升级至2.11.13版本修复。
CVE-2026-7762 (CVSS 9.8) - A heap-based buffer overflow vulnerability in the dot11ah.ko HaLow Wi-Fi kernel
📋 漏洞概述
Morse Micro HaLowLink 2 的dot11ah.ko驱动中存在堆缓冲区溢出漏洞,可导致拒绝服务或远程代码执行。
📋 基础信息
| 受影响版本 | Morse Micro HaLowLink 2 software versions prior to 2.11.13 |
| 漏洞类型 | 堆缓冲区溢出 |
| CVSS | 9.8 · Critical |
| CVE | CVE-2026-7762 |
🔬 漏洞根因
在函数morse_dot11ah_find_s1g_caps_for_bssid()中,处理S1G Capabilities信息元素(IE ID 0xD9)时,直接使用IE长度字段(最大255字节)作为memcpy拷贝大小参数,但目标缓冲区仅为15字节。未进行长度校验,导致堆内存溢出,攻击者可控制溢出数据。
🎯 攻击场景
1. 前提条件:攻击者位于受害者设备的无线电范围内(802.11ah HaLow网络)。2. 攻击者伪造一个包含恶意S1G Capabilities IE(IE元素ID 0xD9)的802.11ah Beacon或Probe Response帧,其中IE长度字段设为大于15的值(如255)。3. 受害设备执行正常扫描或被动监听时,内核驱动接收并处理该帧。4. 函数morse_dot11ah_find_s1g_caps_for_bssid()调用memcpy,将255字节数据拷贝到15字节堆缓冲区,造成240字节溢出。5. 溢出数据覆盖相邻内核堆内存,可触发内核崩溃(DoS)或通过精心构造数据实现远程代码执行(RCE)。
💥 漏洞影响
未认证的远程攻击者可在无需交互的情况下,利用无线范围内的攻击向量触发内核崩溃(拒绝服务)或实现远程代码执行,完全控制受影响设备。影响运行HaLowLink 2软件(< 2.11.13)的所有Morse Micro HaLow Wi-Fi设备。
🛡️ 修复建议
升级至Morse Micro HaLowLink 2软件版本2.11.13或更高版本。临时缓解措施:禁用802.11ah扫描被动模式(如可能);在网络边界过滤或监控异常的Beacon/Probe Response帧;使用IPS/IDS检测异常长度的S1G Capabilities IE。
📎 参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2026-7762
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-7762
- 原始来源(NVD-Latest)
🚨 威胁评估
| 📈 EPSS 利用概率 | 低 (0.1%) (高于 30.0% 的漏洞) |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 暂无公开 PoC |
⚠️ 本文由漏洞情报系统自动生成,仅供安全研究与防御参考。生成时间: 2026-06-08 08:08 | 来源: NVD-Latest
🤖 常见问题解答(FAQ)
❓ 如何检测该漏洞是否被利用?
监测内核日志中的异常崩溃/panic信息,检查无线抓包中是否存在长度大于15字节的S1G Capabilities IE(ID 0xD9)的Beacon或Probe Response帧。使用堆内存异常检测工具亦可辅助分析。
❓ 该漏洞是否需要认证?
不需要。攻击者只需在无线电范围内发送精心构造的802.11ah帧即可触发,无需任何认证或用户交互。
❓ 是否有临时绕过措施?
临时措施包括:禁用设备的被动扫描功能;在无线驱动层面添加IE长度校验的补丁(长度>15则丢弃);使用网络防火墙丢弃异常长度的管理帧。但最有效的方案仍是升级软件版本。