Katalog CVE

CVE-2025-14104

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

W bibliotece util-linux wykryto podatność polegającą na odczycie poza zakresem sterty podczas przetwarzania 256-bajtowych nazw użytkowników w funkcji `setpwnam()`. Problem dotyczy narzędzi SUID (Set User ID) w login-utils, które zapisują do bazy haseł.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu wrażliwych danych z pamięci lub wywołania nieoczekiwanego zachowania systemu, co może prowadzić do eskalacji uprawnień lub wycieku informacji.

Rekomendacja

Należy niezwłocznie zaktualizować pakiet util-linux do wersji zawierającej poprawkę. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do narzędzi SUID login-utils dla nieuprawnionych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in util-linux. This vulnerability allows a heap buffer overread when processing 256-byte usernames, specifically within the `setpwnam()` function, affecting SUID (Set User ID) login-utils utilities writing to the password database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS