美國網路安全和基礎設施安全局 (CISA) 週五將最近披露的一個影響各種 Linux 發行版的安全漏洞添加到其已知利用漏洞 ( KEV ) 目錄中，並指出有證據表明該漏洞已被積極利用。此漏洞編號為CVE-2026-31431（CVSS 評分：7.8），是一個本地權限提升 (LPE) 漏洞，可能允許非特權本機使用者取得 root 權限。這個存在了九年的漏洞也被 Theori 和 Xint 標記為Copy Fail。 Linux核心版本 6.18.22、6.19.12 和 7.0 已修復此漏洞。

美國網路安全和基礎設施安全局 (CISA) 在一份公告中表示：「Linux 核心存在資源在不同領域之間傳輸不正確的漏洞，可能導致權限提升。」

研究人員在本週稍早發表的報告中指出，Copy Fail漏洞源自於Linux核心身分驗證加密模板中的一個邏輯錯誤，攻擊者可以利用一個732位元組的Python漏洞利用程式輕鬆可靠地提升權限。該漏洞是透過2011年、2015年和2017年對Linux核心進行的三次獨立修改引入的，每次修改本身並無害處。

此高風險安全漏洞影響自 2017 年以來發布的 Linux 發行版，允許非特權本地用戶透過破壞核心記憶體中任何可讀檔案（包括 setuid 二進位）的頁面快取來取得 root 權限。這種破壞操作可以由非特權使用者執行，並可能導致以 root 權限執行程式碼。

美國網路安全和基礎設施安全局 (CISA) 並未透露該漏洞在實際環境中是如何被利用的。該攻擊向量為本地攻擊（AV:L），所需權限低，無需用戶交互，這意味著任何在易受攻擊的系統上的非特權用戶都可以嘗試利用該漏洞。至關重要的是，該漏洞單獨使用時無法遠端利用，但如果與諸如安全外殼（SSH）存取、惡意持續整合（CI）作業執行或容器立足點等初始存取向量結合使用，則會造成極大的影響。

聯邦民事行政部門 (FCEB) 已被告知需在 2026 年 5 月 15 日前應用修復程序，受影響的 Linux 發行版已推送更新。如果無法立即進行修補，建議各組織停用受影響的功能，實施網路隔離，並套用存取控制。

資料來源：https://thehackernews.com/2026/05/cisa-adds-actively-exploited-linux-root.html