CUPS漏洞零点击提权root：Linux打印系统高危预警

近期，Linux生态中一个基础但至关重要的组件——打印服务CUPS被披露存在严重安全漏洞。据科技媒体cyberkendra报道，攻击者无需任何凭证，即可通过远程方式执行代码，并最终获取系统的最高root权限。

这组漏洞由安全研究员Asim Manizada借助AI工具发现，涉及两个编号分别为CVE-2026-34980和CVE-2026-34990的安全漏洞。组合利用后，攻击者可从网络访问入手，最终以root权限向系统任意位置写入文件，甚至直接覆盖/etc/sudoers.d/目录下的关键配置文件，从而完全控制目标系统。

漏洞一：CVE-2026-34980 - 远程代码执行的起点

第一个漏洞源于CUPS处理打印任务属性时的逻辑缺陷。具体来说，系统在对属性进行序列化与重新解析的过程中，对换行符的转义处理存在漏洞，导致换行符能够“存活”于完整的处理流程中。

利用这一缺陷，攻击者可向共享的PostScript打印队列发送恶意构造的打印任务。通过日志记录机制注入恶意的PPD（PostScript打印机描述）配置标记，诱导CUPS执行攻击者指定的任意二进制文件。成功后，攻击者便能够以“lp”用户的身份在目标系统上实现远程代码执行。

漏洞二：CVE-2026-34990 - 本地权限提升的关键环节

第二个漏洞影响范围更广，在默认配置下即可触发。它允许本地无特权的用户绑定到一个TCP端口，并创建一个指向自身监听器的临时打印机。

该操作会诱使CUPS使用Local方案进行认证，并在此过程中暴露出一个关键的管理令牌。攻击者获取该令牌后，可利用竞态条件：在系统验证并清除令牌之前，快速持久化一个指向file:///etc/sudoers.d/的打印队列。这样一来，任何后续发送到该队列的打印任务，都会被转化为以root权限进行的文件写入操作。

漏洞链条的核心：绕过安全检查

整个攻击链条能够成功的关键，在于巧妙地绕过了CUPS对file:设备URI的安全检查。系统设计上存在一个逻辑漏洞：它会先将临时打印机的URI路径存储起来，但相关的安全检查却只在共享标志清除该临时状态后才执行。这意味着，在某些攻击路径下，安全检查实际上从未被触发。

截至2026年4月5日，虽然相关修复代码已提交至公共代码库，但官方尚未发布包含该修复的正式版本。当前最新的CUPS 2.4.16版本仍受这些漏洞影响。对于依赖CUPS进行打印服务的Linux系统管理员而言，持续关注并等待官方补丁发布，是现阶段的首要任务。