Vulnerabilidad en inetutils de GNU (CVE-2026-28372)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/02/2026
Última modificación:
07/03/2026
Descripción
telnetd en GNU inetutils hasta la versión 2.7 permite la escalada de privilegios que puede ser explotada al abusar del soporte de credenciales de servicio de systemd añadido a la implementación de login(1) de util-linux en la versión 2.40. Esto está relacionado con el control del cliente sobre la variable de entorno CREDENTIALS_DIRECTORY, y requiere que un usuario local sin privilegios cree un archivo login.noauth.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:inetutils:*:*:*:*:*:*:*:* | 2.7 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.hadrons.org/cgit/debian/pkgs/inetutils.git/commit/?id=3953943d8296310485f98963883a798545ab9a6c
- https://lists.gnu.org/archive/html/bug-inetutils/2026-02/msg00000.html
- https://lists.gnu.org/archive/html/bug-inetutils/2026-02/msg00012.html
- https://www.openwall.com/lists/oss-security/2026/02/24/1
- http://www.openwall.com/lists/oss-security/2026/02/27/3
- http://www.openwall.com/lists/oss-security/2026/03/06/2
- http://www.openwall.com/lists/oss-security/2026/03/06/3
- http://www.openwall.com/lists/oss-security/2026/03/07/1
- http://www.openwall.com/lists/oss-security/2026/03/07/2