Plataforma
linux
Componente
util-linux
Corrigido em
2.41.5
Uma condição de corrida (Time-of-Check-Time-of-Use - TOCTOU) foi identificada no util-linux, especificamente no binário SUID /usr/bin/mount. Essa vulnerabilidade permite que um usuário local explore a validação inadequada de caminhos de arquivos ao configurar dispositivos loop. Versões do util-linux anteriores à 2.41.4 são afetadas. A correção foi disponibilizada na versão 2.41.4.
A vulnerabilidade TOCTOU no util-linux permite que um usuário local, sem privilégios elevados, manipule o sistema para escalar seus privilégios. O ataque ocorre quando o binário /usr/bin/mount valida o caminho do arquivo com privilégios de usuário, mas posteriormente o abre com privilégios de root sem verificar se o caminho foi alterado entre as duas operações. Um atacante pode substituir o arquivo original por outro, permitindo a execução de código com privilégios de root. A exploração bem-sucedida pode levar ao comprometimento completo do sistema, permitindo o acesso não autorizado a dados sensíveis e a execução de comandos arbitrários com privilégios elevados. Embora não haja relatos públicos de exploração ativa, a natureza da vulnerabilidade TOCTOU a torna um alvo potencial para exploração, especialmente em sistemas com configurações inadequadas.
A vulnerabilidade CVE-2026-27456 foi publicada em 03 de abril de 2026. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação EPSS (Exploit Prediction Scoring System) ainda não foi determinada, mas a natureza da vulnerabilidade TOCTOU sugere uma probabilidade média de exploração. Atualmente, não há provas públicas de exploração ativa, mas a disponibilidade de informações sobre a vulnerabilidade pode aumentar o risco de exploração futura.
Systems running older versions of util-linux, particularly those with shared user accounts or where users have elevated privileges, are at increased risk. Environments utilizing loop devices extensively, such as containerized deployments or virtual machine setups, should prioritize patching.
• linux / server:
journalctl -g 'mount' -f | grep -i 'realpath'• linux / server:
auditctl -w /usr/bin/mount -p wa -k mount_race• linux / server:
lsof /usr/bin/mountdisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-27456 é atualizar o util-linux para a versão 2.41.4 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de mitigação temporárias. Uma possível solução alternativa é restringir o acesso ao binário /usr/bin/mount, limitando os usuários que podem executá-lo. Além disso, a implementação de regras de firewall ou proxies pode ajudar a restringir o acesso à rede e reduzir a superfície de ataque. Após a atualização, verifique a integridade do sistema executando uma verificação de segurança completa para garantir que a vulnerabilidade foi corrigida e que não há outros problemas de segurança.
Atualize o pacote util-linux para a versão 2.41.4 ou superior para mitigar a vulnerabilidade TOCTOU. Esta atualização corrige a validação incorreta do caminho do arquivo de origem durante a configuração de dispositivos de loop, prevenindo a execução de código arbitrário como root.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27456 is a Race Condition vulnerability in util-linux versions before 2.41.4 affecting the /usr/bin/mount binary, allowing potential privilege escalation.
You are affected if you are running util-linux versions prior to 2.41.4. Check your system's util-linux version to determine if you are vulnerable.
Upgrade util-linux to version 2.41.4 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting access to /usr/bin/mount.
There is currently no indication of active exploitation campaigns or publicly available exploits for CVE-2026-27456.
Refer to the official util-linux project website or relevant security mailing lists for the advisory related to CVE-2026-27456.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.