漏洞概述 漏洞名称: malcontent: Disk Space Exhaustion via Globally Accessible D-Bus API (CVE-2026-44931) 发布日期: 2026年5月11日 作者: Matthias Gerstner, Filippo Bonazzi (编辑) 标签: CVE, D-BUS 影响范围 受影响系统: GNOME 50版本更新后的malcontent 0.14.0 漏洞类型: 本地磁盘空间耗尽攻击 攻击向量: 通过新添加的D-Bus方法 ,任意用户可以在系统中缓慢地填满磁盘空间 具体影响: - 在 目录下创建大量条目 - 可能导致拒绝服务(DoS)攻击 修复方案 临时措施: - 限制调用者在本地活动会话中的方法调用 - 在每个用户账户上放置使用条目的上限,以防止过度磁盘使用 长期措施: - 上游报告已提交,但缺乏开发者资源,暂无bugfix可用 - 已分配CVE-2026-44931以跟踪缺陷并提高意识 POC代码 时间线 2026-02-18: 在上游GitLab中创建了私有问题,提供协调披露 2026-03-11: 由于没有反应,再次询问问题是否有人在看 2026-03-11: 上游开发者回应确认问题,并指出malcontent的开发者时间有限 2026-03-23: 询问上游如何继续协调披露,解释非披露期不是严格必要,最大非披露期为90天至2026-05-19 2026-04-09: 在没有答案的情况下,再次敦促上游做出决定和路径 2026-04-21: 通知上游如果到2026-04-30没有反应,将发布报告 2026-05-05: 发布了Bugzilla问题描述该问题 2026-05-08: 分配CVE-2026-44931并通知上游 2026-05-11: 发布本报告 参考文献 malcontent freedesktop repository malcontent upstream private bug about this issue openSUSE review bug for malcontent 0.14.0