Se han descubierto vulnerabilidades de severidad crítica en el demonio telnetd del conjunto de utilidades de red GNU Inetutils. Un actor malicioso remoto no autenticado podría lograr la ejecución de código arbitrario con privilegios de root o eludir los mecanismos de autenticación en los sistemas afectados.
Productos afectados
- GNU Inetutils telnetd, versión 2.7 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-32746: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer de preautenticación remota en la función add_slc. Un actor malicioso remoto no autenticado podría enviar una subnegociación LINEMODE SLC diseñada específicamente con un gran número de entradas para corromper la memoria del sistema. Dado que este servicio se ejecuta comúnmente con privilegios elevados, el ataque permitiría la ejecución de código arbitrario como usuario root.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias