CRITICAL🇬🇧 English

CVE-2025-23394

Privilege escalation przez symlink w cyrus-imapd na openSUSE Tumbleweed

CVSS 9.8v3.1pub. 2025-05-26upd. 2026-04-15

Podatność typu UNIX Symbolic Link (Symlink) Following w pakiecie cyrus-imapd dla openSUSE Tumbleweed umożliwia eskalację uprawnień z konta użytkownika 'cyrus' do uprawnień root. Podatność jest oceniana jako krytyczna z wynikiem CVSS 9.8.

Pokaż oryginał (EN)

A UNIX Symbolic Link (Symlink) Following vulnerability in openSUSE Tumbleweed cyrus-imapd allows escalation from cyrus to root.This issue affects openSUSE Tumbleweed cyrus-imapd before 3.8.4-2.1.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej obsłudze dowiązań symbolicznych (symlink) przez proces działający w kontekście użytkownika 'cyrus'. Atakujący posiadający dostęp do tego konta może spreparować symlink wskazujący na uprzywilejowane zasoby systemowe, co prowadzi do wykonania operacji plikowych w kontekście roota. Jest to klasyczny przypadek CWE-61, gdzie aplikacja podąża za dowiązaniem symbolicznym bez odpowiedniej weryfikacji jego celu.

Skutki

Atakujący z dostępem do konta 'cyrus' może uzyskać pełne uprawnienia administratora systemu (root), co umożliwia przejęcie całkowitej kontroli nad systemem operacyjnym, w tym odczyt, modyfikację lub usunięcie dowolnych plików.

Mitygacja

Należy zaktualizować pakiet cyrus-imapd do wersji 3.8.4-2.1 lub nowszej w systemie openSUSE Tumbleweed. Szczegóły dostępne w referencjach producenta pod adresem bugzilla.suse.com.

Kogo dotyczy

openSUSE Tumbleweed z pakietem cyrus-imapd w wersjach przed 3.8.4-2.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje