Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Desbordamiento de búfer en el servidor telnetd de GNU Inetutils

Fecha de publicación 19/03/2026
Identificador
INCIBE-2026-202
Importancia
5 - Crítica
Recursos Afectados
  • GNU InetUtils telnetd hasta la versión 2.7 (todas las versiones).
  • Cualquier versión de telnetd derivada del código fuente BSD SLC.
Descripción

Varios investigadores han reportado una vulnerabilidad de severidad crítica que de ser explotada podría permitir ejecución remota de código.

Solución

Se espera que la actualización esté disponible el 1 de abril de 2026.

Detalle

CVE-2026-32746: el servidor telnetd presenta un desbordamiento de búfer en el controlador de subopciones LINEMODE SLC (Set Local Characters). Un atacante no autenticado puede activarlo conectándose al puerto 23 y enviando una subopción SLC manipulada con múltiples tripletas. No se requiere inicio de sesión. El fallo se produce durante la negociación de opciones, antes de la solicitud de inicio de sesión. El desbordamiento corrompe la memoria y puede transformarse en escrituras arbitrarias. En la práctica, esto puede conducir a la ejecución remota de código. Dado que telnetd suele ejecutarse como root, una explotación exitosa otorgaría al atacante el control total del sistema.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-32746 Crítica No LINEMODE
Listado de referencias
Remote Pre-Auth Buffer Overflow in GNU Inetutils telnetd (LINEMODE SLC)
Remote Pre-Auth Buffer Overflow in GNU Inetutils telnetd (LINEMODE SLC)
Remote Pre-Auth Buffer Overflow in GNU Inetutils telnetd (LINEMODE SLC)
CVE-2026-32746 - telnetd LINEMODE SLC Buffer Overflow
Etiquetas