CVE-2021-1906 — 神龙十问 AI 深度分析摘要

🚨 **本质**：高通组件地址注销失败处理不当。 💥 **后果**：导致新的 **GPU地址分配失败**，引发 **高可用性 (A:H)** 风险，可能致使设备功能异常或崩溃。

🔍 **缺陷点**：地址注销逻辑错误。 ⚠️ **CWE**：数据未提供具体CWE编号，但核心在于 **资源管理/状态处理** 的缺陷。

📱 **受影响组件**：Qualcomm (高通) 组件。 📦 **涉及产品线**：Snapdragon Auto, Mobile, IoT, Wearables 等。 🔢 **具体型号**：APQ8009, APQ8017, MDM915, AR8031 等15款芯片/模块。

🛡️ **权限**：本地访问 (AV:L)。 📊 **数据影响**：无直接数据泄露 (C:N) 或篡改 (I:N)。 💣 **主要危害**：服务中断/拒绝服务 (A:H)，导致 **GPU功能不可用**。

🔑 **利用门槛**：中等偏低。 📝 **条件**： - **本地访问** (AV:L) - **低复杂度** (AC:L) - **无需认证** (PR:N) - **无需用户交互** (UI:N)

🚫 **现成Exp**：数据中 **pocs** 为空，无公开PoC。 🌍 **在野利用**：数据未提及，暂无证据表明被广泛利用。

🔍 **自查方法**： 1. 检查设备是否使用列出的 **Qualcomm芯片型号** (如APQ8009, MDM915等)。 2. 关注 **GPU地址分配** 相关日志或异常崩溃报告。 3. 扫描高通 **May 2021 Bulletin** 中提及的受影响固件版本。

✅ **官方修复**：是。 📅 **时间**：2021年5月7日发布安全公告。 🔗 **来源**：Qualcomm 官方 May 2021 Bulletin。

🛡️ **临时规避**： 1. 升级固件至 **最新安全补丁版本**。 2. 若无法升级，限制 **本地非授权访问** 以减少触发风险。 3. 监控 **GPU资源分配** 状态，及时发现异常。

⚡ **优先级**：中高。 📌 **理由**：虽然CVSS评分未直接给出总分，但 **可用性影响高 (A:H)** 且 **利用条件宽松** (无需认证/交互)。对于依赖GPU稳定性的IoT/车载/移动设备，建议 **尽快修补**。