Serwer telnetd wchodzący w skład GNU Inetutils (do wersji 2.7 włącznie) umożliwia zdalne ominięcie uwierzytelnienia poprzez odpowiednio spreparowaną wartość zmiennej środowiskowej USER. Podatność posiada ocenę CVSS 9.8 i jest aktywnie wykorzystywana przez atakujących.
▸ Pokaż oryginał (EN)
telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment variable.
Atakujący przesyła do serwera telnetd wartość "-f root" jako zawartość zmiennej środowiskowej USER podczas nawiązywania sesji Telnet. Wartość ta jest interpretowana jako argument wiersza poleceń (CWE-88: argument injection), co powoduje, że mechanizm uwierzytelnienia jest pomijany i sesja zostaje otwarta z uprawnieniami użytkownika root. Atak nie wymaga żadnego uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień — wystarczy sieciowy dostęp do usługi telnetd.
Nieuprawniony, zdalny atakujący uzyskuje pełny dostęp do systemu z uprawnieniami administratora (root), co umożliwia przejęcie kontroli nad serwerem, odczyt i modyfikację danych oraz dalsze działania w sieci ofiary.
Należy niezwłocznie zastosować patche wskazane w commitach repozytorium projektu (ccba9f748aa8d50a38d7748e2e60362edd6a32cc oraz fd702c02497b2f398e739e3119bed0b23dd7aa7b). Do czasu aktualizacji zaleca się wyłączenie usługi telnetd i zastąpienie jej bezpieczniejszą alternatywą (np. SSH). Należy śledzić aktualizacje pakietów dystrybucji Debian Linux i zastosować je niezwłocznie po udostępnieniu.
GNU Inetutils w wersjach do 2.7 włącznie (telnetd); systemy oparte na Debian Linux korzystające z pakietu inetutils
Podatność została zgłoszona na liście dyskusyjnej bug-inetutils w dniu 20 stycznia 2026 roku (lista oss-security). CISA potwierdziła aktywne wykorzystywanie tej podatności w środowiskach produkcyjnych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDebian
OSDebian11.0Gnu Inetutils
APPGnu1.9.3 – 2.7
CISA KEV — szczegółyi
- Dostawcai
- GNU
- Produkti
- InetUtils
- Data dodania do KEVi
- 26 stycznia 2026
- Termin remediation (USA)i
- 16 lutego 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
GNU InetUtils zawiera lukę typu argument injection w telnetd, która mogła umożliwić obejście uwierzytelniania zdalnego poprzez wartość "-f root" zmiennej środowiskowej USER.
▸ Pokaż oryginał (EN)
GNU InetUtils contains an argument injection vulnerability in telnetd that could allow for remote authentication bypass via a "-f root" value for the USER environment variable.
Powiązane podatności
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych