Se ha descubierto una vulnerabilidad de severidad Crítica en la herramienta telnetd de la colección de utilidades InetUtils de GNU. Un actor malicioso podría evadir la autenticación remota y obtener acceso con privilegios de nivel raíz en el sistema afectado.
Productos afectados
- Daemon de telnet (telnetd) incluido en GNU InetUtils desde la versión 1.9.3 hasta la versión 2.7.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–24061: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación en el servidor telnetd debido a la falta de sanitización de la variable de entorno USER recibida desde el cliente. Un actor malicioso remoto podría suministrar un valor diseñado a través de dicha variable para permitir el inicio de sesión automático como superusuario, saltándose los procesos normales de validación de identidad y obteniendo control total sobre el sistema operativo subyacente.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias