Ubuntu高危漏洞CVE-2026-3888可通过systemd清理时序漏洞提权至root

Ubuntu桌面版24.04及后续版本默认安装中发现了一个高危安全漏洞，攻击者可利用该漏洞将权限提升至root级别。

该漏洞编号为CVE-2026-3888，CVSS评分为7.8分，攻击者可通过此漏洞获得易受攻击系统的完全控制权。

漏洞原理与影响

Qualys威胁研究单元表示："此漏洞（CVE-2026-3888）允许无特权的本地攻击者通过两个标准系统组件的交互来提升权限至完全root访问权限：snap-confine和systemd-tmpfiles。虽然该漏洞利用需要特定的时间窗口（10-30天），但造成的影响是主机系统的完全compromise。"

据Qualys分析，问题源于snap-confine和systemd-tmpfiles之间的意外交互。snap-confine负责通过创建沙箱来管理snap应用程序的执行环境，而systemd-tmpfiles则自动清理超过定义阈值的临时文件和目录（如/tmp、/run和/var/tmp）。

受影响版本与补丁

漏洞已在以下版本中得到修复：

Ubuntu 24.04 LTS - snapd版本2.73+ubuntu24.04.1之前的版本

Ubuntu 25.10 LTS - snapd版本2.73+ubuntu25.10.1之前的版本

Ubuntu 26.04 LTS（开发版）- snapd版本2.74.1+ubuntu26.04.1之前的版本

上游snapd - 2.75版本之前的版本

攻击向量分析

该攻击需要低权限且无需用户交互，但由于漏洞利用链中的时间延迟机制，攻击复杂性较高。

Qualys表示："在默认配置中，systemd-tmpfiles被调度清理/tmp中的过期数据。攻击者可以通过操纵这些清理周期的时序来利用此漏洞。"

攻击过程包括以下步骤：

攻击者必须等待系统清理守护进程删除snap-confine所需的关键目录（/tmp/.snap）。默认周期在Ubuntu 24.04中为30天，在后续版本中为10天。

目录被删除后，攻击者重新创建包含恶意载荷的目录。

在下次沙箱初始化期间，snap-confine以root权限绑定挂载这些文件，允许在特权上下文中执行任意代码。

相关发现

此外，Qualys还在uutils coreutils包中发现了一个竞态条件漏洞，允许无特权的本地攻击者在root拥有的cron执行期间用符号链接替换目录条目。

该网络安全公司表示："成功利用此漏洞可能导致以root身份任意删除文件，或通过针对snap沙箱目录进一步提升权限。该漏洞在Ubuntu 25.10公开发布之前已被报告并得到缓解。Ubuntu 25.10中的默认rm命令已恢复为GNU coreutils以立即缓解此风险。上游修复已应用到uutils代码库中。"

Q&A

Q1：CVE-2026-3888漏洞的危害程度有多大？

A：这是一个高危漏洞，CVSS评分为7.8分。攻击者可以利用此漏洞将无特权的本地权限提升至完全的root访问权限，从而获得Ubuntu系统的完全控制权，造成主机系统的完全compromise。

Q2：哪些Ubuntu版本会受到CVE-2026-3888漏洞影响？

A：该漏洞影响Ubuntu桌面版24.04及后续版本的默认安装。具体包括Ubuntu 24.04 LTS、Ubuntu 25.10 LTS和Ubuntu 26.04 LTS开发版，以及上游snapd的相应版本。

Q3：CVE-2026-3888漏洞利用需要什么条件？

A：攻击需要低权限且无需用户交互，但攻击复杂性较高。攻击者必须等待系统清理守护进程删除关键目录，这个时间窗口在Ubuntu 24.04中为30天，在后续版本中为10天，然后重新创建包含恶意载荷的目录。