CVE-2025-14104
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
W bibliotece util-linux wykryto podatność polegającą na odczycie poza zakresem sterty podczas przetwarzania 256-bajtowych nazw użytkowników w funkcji `setpwnam()`. Problem dotyczy narzędzi SUID (Set User ID) w login-utils, które zapisują do bazy haseł.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu wrażliwych danych z pamięci lub wywołania nieoczekiwanego zachowania systemu, co może prowadzić do eskalacji uprawnień lub wycieku informacji.
Rekomendacja
Należy niezwłocznie zaktualizować pakiet util-linux do wersji zawierającej poprawkę. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do narzędzi SUID login-utils dla nieuprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in util-linux. This vulnerability allows a heap buffer overread when processing 256-byte usernames, specifically within the `setpwnam()` function, affecting SUID (Set User ID) login-utils utilities writing to the password database.

