CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-24061

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVSS 9.8v3.1pub. 2026-01-21upd. 2026-02-11

Serwer telnetd wchodzący w skład GNU Inetutils (do wersji 2.7 włącznie) umożliwia zdalne ominięcie uwierzytelnienia poprzez odpowiednio spreparowaną wartość zmiennej środowiskowej USER. Podatność posiada ocenę CVSS 9.8 i jest aktywnie wykorzystywana przez atakujących.

Pokaż oryginał (EN)

telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment variable.

🤖 Analiza AI
Jak działa

Atakujący przesyła do serwera telnetd wartość "-f root" jako zawartość zmiennej środowiskowej USER podczas nawiązywania sesji Telnet. Wartość ta jest interpretowana jako argument wiersza poleceń (CWE-88: argument injection), co powoduje, że mechanizm uwierzytelnienia jest pomijany i sesja zostaje otwarta z uprawnieniami użytkownika root. Atak nie wymaga żadnego uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień — wystarczy sieciowy dostęp do usługi telnetd.

Skutki

Nieuprawniony, zdalny atakujący uzyskuje pełny dostęp do systemu z uprawnieniami administratora (root), co umożliwia przejęcie kontroli nad serwerem, odczyt i modyfikację danych oraz dalsze działania w sieci ofiary.

Mitygacja

Należy niezwłocznie zastosować patche wskazane w commitach repozytorium projektu (ccba9f748aa8d50a38d7748e2e60362edd6a32cc oraz fd702c02497b2f398e739e3119bed0b23dd7aa7b). Do czasu aktualizacji zaleca się wyłączenie usługi telnetd i zastąpienie jej bezpieczniejszą alternatywą (np. SSH). Należy śledzić aktualizacje pakietów dystrybucji Debian Linux i zastosować je niezwłocznie po udostępnieniu.

Kogo dotyczy

GNU Inetutils w wersjach do 2.7 włącznie (telnetd); systemy oparte na Debian Linux korzystające z pakietu inetutils

Uwagi

Podatność została zgłoszona na liście dyskusyjnej bug-inetutils w dniu 20 stycznia 2026 roku (lista oss-security). CISA potwierdziła aktywne wykorzystywanie tej podatności w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Debian

    OS
    Debian
    11.0
  • Gnu Inetutils

    APP
    Gnu
    1.9.3 – 2.7

CISA KEV — szczegółyi

Dostawcai
GNU
Produkti
InetUtils
Data dodania do KEVi
26 stycznia 2026
Termin remediation (USA)i
16 lutego 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

GNU InetUtils zawiera lukę typu argument injection w telnetd, która mogła umożliwić obejście uwierzytelniania zdalnego poprzez wartość "-f root" zmiennej środowiskowej USER.

tłumaczenie AI
Pokaż oryginał (EN)

GNU InetUtils contains an argument injection vulnerability in telnetd that could allow for remote authentication bypass via a "-f root" value for the USER environment variable.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 16 lutego 2026
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych