【安全圈】Wireshark 高危漏洞可致攻击者通过畸形数据包执行任意代码

关键词

高危漏洞

打开网易新闻 查看精彩图片

全球使用最广泛的开源网络协议分析工具 Wireshark 近日发布重大安全更新，修复了 40 余个漏洞，其中多个漏洞允许攻击者通过注入畸形数据包或恶意抓包文件实现任意代码执行。依赖 Wireshark 进行网络监控、取证分析和流量检测的企业及个人用户应立即升级至 Wireshark 4.6.5 版本。

关键代码执行漏洞

本次更新中最严重的漏洞具有远程代码执行（RCE）风险，远超简单的拒绝服务影响范围。已发现四个解析器存在安全隐患：

• TLS 解析器（CVE-2026-5402）—— 处理畸形 TLS 流量时可能导致崩溃并执行代码（wnpa-sec-2026-14）

• SBC 编解码器（CVE-2026-5403）—— SBC 音频编解码处理器存在崩溃及代码执行风险（wnpa-sec-2026-16）

• RDP 解析器（CVE-2026-5405）—— 解析远程桌面协议数据包时可能触发崩溃并执行代码（wnpa-sec-2026-17）

• 配置文件导入功能（CVE-2026-5656）—— 导入配置文件操作期间可能引发崩溃并执行代码（wnpa-sec-2026-21）

这些漏洞危害性极高，因为企业及安全运营中心（SOC）环境中的 Wireshark 通常以高权限运行，成功利用可令攻击者获取系统高级访问权限。

解析器崩溃导致的拒绝服务

大部分已修复漏洞会在特定协议解析器处理畸形或恶意构造的数据包时引发程序崩溃，受影响协议包括：

• Monero（CVE-2026-5409）、BT-DHT（CVE-2026-5408）、FC-SWILS（CVE-2026-5406）、ICMPv6（CVE-2026-5299）

• AFP（CVE-2026-5401）、K12 RF5 文件解析器（CVE-2026-5404）、AMR-NB 编解码器（CVE-2026-5654）

• SDP（CVE-2026-5655）、iLBC 音频编解码器（CVE-2026-5657、CVE-2026-6529）、DCP-ETSI（CVE-2026-5653、CVE-2026-6530）

• BEEP（CVE-2026-6538）、ZigBee（CVE-2026-6537）、Kismet（CVE-2026-6532）

• ASN.1 PER（CVE-2026-6527）、RTSP（CVE-2026-6526）、IEEE 802.11（CVE-2026-6525）

• MySQL（CVE-2026-6524）、GSM RP（CVE-2026-6870）、WebSocket（CVE-2026-6869）、HTTP（CVE-2026-6868）

同一网段的攻击者无需认证或系统访问权限，仅需注入特制数据包即可触发这些崩溃。

无限循环与资源耗尽

部分漏洞会导致无限循环，使 Wireshark 挂起并持续消耗系统资源：

• SMB2 解析器（CVE-2026-5407）—— 畸形 SMB2 流量引发无限循环（wnpa-sec-2026-11）

• DLMS/COSEM（CVE-2026-6536）、USB HID（CVE-2026-6534）、SANE（CVE-2026-6531）

• GNW（CVE-2026-6523）、OpenFlow v5（CVE-2026-6521）、OpenFlow v6（CVE-2026-6520）

• MBIM（CVE-2026-6519）、RPKI-Router（CVE-2026-6522）、TLS 解析器（CVE-2026-6528）

这些循环类漏洞对自动化流量捕获管道影响尤为严重——在无人值守运行的场景下，单个畸形数据包即可永久中断分析进程。

解压缩引擎漏洞

两个底层漏洞影响 Wireshark 核心解析引擎而非特定协议解析器：

• zlib 解压缩崩溃（CVE-2026-6535）

  —— 畸形压缩载荷会破坏解压缩流程（涉及 Issues 和 ，wnpa-sec-2026-26）

• LZ77 解压缩崩溃（CVE-2026-6533）

  —— 数据包解析期间处理畸形 LZ77 压缩数据时触发崩溃（wnpa-sec-2026-28）

这些引擎级漏洞影响所有使用压缩载荷的协议，显著扩大了攻击面。

受影响版本与修复方案

组件

漏洞类型

典型 CVE 编号

TLS/RDP/SBC/配置文件导入

崩溃+代码执行

CVE-2026-5402/5403/5405/5656

SMB2/TLS/MBIM/OpenFlow

无限循环/DoS

CVE-2026-5407/6528/6519/6521

20+协议解析器

解析器崩溃/DoS

CVE-2026-5299 至 CVE-2026-6870

解析引擎

zlib/LZ77 解压缩崩溃

CVE-2026-6535/6533

Wireshark 团队指出，本次修复部分得益于 AI 辅助漏洞报告机制，该技术同时加速了多个协议模块的漏洞发现进程。用户应立即通过官方下载页面升级至 Wireshark 4.6.5。鉴于 TLS、RDP 和 SBC 组件存在代码执行风险，在实时抓包或 SIEM 集成环境中运行 Wireshark 的企业应将此更新列为最高优先级。

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！