网络安全

CISA 标记 CVE-2026-31431：Linux 根权限访问漏洞遭利用

2026年5月4日4分钟阅读

By 莉娜·彼得罗夫 — 拥有8年消费科技评测经验

CISA 将 Linux 权限提升漏洞列入已知被利用漏洞名单

美国网络安全和基础设施安全局（CISA）已将高危本地权限提升漏洞 CVE-2026-31431 添加至其已知被利用漏洞（KEV）目录。此举证实攻击者正在真实攻击中积极利用该漏洞，使其成为系统管理员、开发人员以及所有运行基于 Linux 基础设施的用户的优先关注事项。

该漏洞影响多个 Linux 发行版，一旦被成功利用，将允许无特权的本地用户获得系统的 root 级访问权限。这意味着即使只拥有对某台机器基本、有限访问权限的人，也有可能完全控制该机器。

权限提升漏洞属于较为危险的安全漏洞类别之一，因为它们不需要攻击者自行从外部突破系统。相反，它们会放大初始入侵所造成的破坏。如果威胁行为者通过网络钓鱼攻击、弱密码或被攻陷的应用程序获得低级别立足点，CVE-2026-31431 这类权限提升漏洞便可将有限的访问权限转化为对整个系统的完全控制。

Linux 系统上的 root 访问权限是可获得的最高权限级别。拥有该权限后，攻击者可读取或窃取任何文件、安装持久性后门、禁用安全工具、横向移动至同一网络上的其他系统，或彻底清除该机器。对于处理敏感数据、关键基础设施或网络路由功能的服务器而言，其后果尤为严重。

CISA 决定将该漏洞添加至 KEV 目录，表明上述理论风险已在实践中开始显现。

该漏洞影响多个 Linux 发行版，意味着潜在的攻击面相当广泛。Linux 支撑着全球大量服务器、云基础设施、嵌入式设备和企业系统。尽管目前的报道尚未详尽列出所有受影响的发行版，但运行任何基于 Linux 系统的管理员应将此视为紧急事项，直至确认其特定环境未受影响或已完成修补。

对于联邦机构而言，CISA 的 KEV 列入通常附带强制性修复截止日期。对于私营部门组织和个人而言，该目录是一个有力的、基于证据的信号，表明该漏洞值得立即关注，而非被纳入维护积压队列。

运行 Linux 服务器用于网络托管、自托管应用程序或家庭实验室的开发人员同样在波及范围之内。认为非企业系统是低优先级攻击目标的假设存在相当风险，尤其是在已知 CVE 的利用工具往往在 KEV 列入后迅速流传的情况下。

如果您管理 Linux 系统，最直接的步骤是检查您所用发行版的安全公告中是否有可用补丁，并在变更管理流程允许的范围内尽快应用。包括 Debian、Ubuntu、Red Hat 及其衍生版本在内的大多数主流发行版都会发布安全公告，将 CVE 标识符映射到具体的软件包版本。

除了打补丁之外，此漏洞也提醒我们分层安全实践的重要性：

CVE-2026-31431 强化了安全领域的一个基本原则：即使只有一层防御失效——无论是弱凭据还是未修补的应用程序——如果底层系统存在未修补的权限提升漏洞等待被触发，都可能级联演变为更大规模的入侵事件。

请持续关注您所用发行版的官方安全渠道以获取补丁动态，并将延迟修复已被积极利用的 CVE 视为一种经过权衡的风险，而非例行的日程安排决定。

CVE-2026-31431 是什么？

CVE-2026-31431 是一个影响多个 Linux 发行版的高危本地权限提升漏洞。它允许无特权的本地用户获得系统的 root 级访问权限。

CISA 为何将该漏洞添加至其 KEV 目录？

CISA 将 CVE-2026-31431 添加至已知被利用漏洞目录，是因为攻击者正在真实攻击中积极利用该漏洞。此举证实该漏洞已在实践中遭到利用，而非仅停留于理论层面。

攻击者通过该漏洞获得 root 访问权限后能做什么？

拥有 root 访问权限后，攻击者可读取或窃取任何文件、安装持久性后门、禁用安全工具、横向移动至网络上的其他系统，或彻底清除该机器。Root 访问权限代表 Linux 系统上可获得的最高权限级别。

该漏洞是否允许攻击者从外部入侵系统？

不，这是一个本地权限提升漏洞，意味着它会放大现有的入侵行为，而非提供初始访问途径。攻击者首先需要通过网络钓鱼、弱密码或被攻陷的应用程序等方式获得低级别立足点。

联邦机构是否必须修补该漏洞？

是的，对于联邦机构而言，CISA 的 KEV 列入通常附带强制性修复截止日期。私营部门组织则被强烈建议根据该目录所提供的基于证据的信号，将其视为紧急事项加以处理。