Linux CUPS打印系统高危漏洞可零点击获取root权限

近日，Linux生态系统中一项基础且至关重要的服务——打印服务CUPS被披露存在高危安全漏洞。根据网络安全媒体cyberkendra的报道，攻击者无需任何身份凭证，即可通过远程方式执行恶意代码，并最终获取系统的最高root权限。

这组漏洞由安全研究员Asim Manizada在人工智能工具的辅助下发现，涉及两个编号分别为CVE-2026-34980和CVE-2026-34990的安全缺陷。通过组合利用这两个漏洞，攻击者可以从网络访问入手，最终实现以root权限向系统任意位置写入文件，甚至直接覆盖/etc/sudoers.d/目录下的关键配置文件，从而完全控制目标Linux服务器。

漏洞一：CVE-2026-34980 - 远程代码执行漏洞分析

第一个漏洞根源于CUPS处理打印任务属性时的逻辑缺陷。具体而言，系统在对属性进行序列化和重新解析的过程中，对换行符的转义处理存在疏漏，导致换行符能够完整地保留在整个处理流程中。

利用这一缺陷，攻击者可以向一个共享的PostScript打印队列发送精心构造的恶意打印任务。通过日志记录机制，攻击者可以注入恶意的PPD（PostScript打印机描述）配置标记，从而诱导CUPS执行攻击者指定的任意可执行文件。此步骤成功后，攻击者便能够以“lp”系统用户的身份在目标Linux系统上实现远程代码执行。

漏洞二：CVE-2026-34990 - 本地权限提升漏洞详解

第二个漏洞的影响范围更为广泛，在默认配置下即可被触发。它允许本地一个无特权的用户绑定到一个TCP端口，并创建一个指向自身监听服务的临时打印机。

此操作会诱使CUPS使用Local方案进行身份认证，并在此过程中暴露出一个关键的管理令牌。攻击者一旦截获该令牌，就可以利用一个竞态条件漏洞：在系统验证并清除该令牌之前，快速将一个指向file:///etc/sudoers.d/的打印队列持久化。如此一来，任何后续发送到该队列的打印任务，都会被转化为以root权限进行的文件写入操作，实现权限提升。

攻击链条核心：如何绕过安全检查机制

整个攻击链条能够成功的关键，在于巧妙地绕过了CUPS对file:设备URI的安全检查。系统设计上存在一个逻辑缺陷：它会先将临时打印机的URI路径存储起来，但相关的安全检查却只在共享标志清除该临时状态后才执行。这意味着，在特定的攻击路径下，关键的安全检查实际上从未被触发，从而为攻击者打开了后门。

截至2026年4月5日，虽然相关的修复代码已经提交至公共代码仓库，但官方尚未发布包含该修复的稳定版本。目前最新的CUPS 2.4.16版本仍然受到这些高危漏洞的影响。对于依赖CUPS进行打印管理的Linux系统管理员而言，密切关注官方安全公告并及时应用补丁，是当前阶段保障系统安全的首要任务。