Kritická zraniteľnosť GNU InetUtils telnetd umožňuje vzdialené vykonanie kódu

Bezpečnostní výskumníci zverejnili informácie o kritickej zraniteľnosti v GNU InetUtils telnetd. CVE-2026-32746 sa nachádza v handleri LINEMODE SLC (Set Local Characters) a umožňuje zápis do pamäte mimo povolených hodnôt.

Zraniteľné systémy:

• GNU InetUtils telnetd vo verzii 2.7 a staršie

Opis zraniteľnosti:

CVE-2026-32746 (CVSS skóre: 9,8)

Kritická zraniteľnosť s označením CVE-2026-32746 sa nachádza v handleri LINEMODE SLC (Set Local Characters). Súvisí s pretečením vyrovnávacej pamäte kvôli chýbajúcej kontrole jej obsadenia vo funkcii add_slc a umožňuje zápis do pamäte mimo povolených hodnôt. Vzdialený neautentifikovaný útočník ju môže zneužiť zaslaním špeciálne vytvorených správ počas  fázy inicializovania pripájania (handshake) pred aktivovaním prihlasovacieho okna. Tým získa možnosť vzdialene vykonať kód s oprávneniami používateľa root a môže získať úplnú kontrolu nad systémom.

Na uvedenú zraniteľnosť je dostupný proof-of-concept kód demonštrujúci mechanizmus jej zneužitia.

Možné škody:

• Vzdialené vykonanie kódu
• Eskalácia oprávnení
• Narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Bezpečnostné aktualizácie by mali byť dostupné najneskôr 1. apríla 2026. Do vydania aktualizácií odporúčame zraniteľnosť mitigovať limitovaním prístupu cez telnet len na zoznam dôveryhodných IP adries, prípadne úplné blokovanie komunikácie na port 23 alebo deaktiváciu telnetd, ak nie je využívaná.

Zdroje:

• https://dreamgroup.com/vulnerability-advisory-pre-auth-remote-code-execution-via-buffer-overflow-in-telnetd-linemode-slc-handler/#
• https://nvd.nist.gov/vuln/detail/CVE-2026-32746