CVE-2026-35368 in coreutilsالمعلومات

الملخص

بحسب VulDB • 15/05/2026

يوجد ثغرة في أداة chroot الخاصة بمجموعة الأدوات الأساسية uutils coreutils عند استخدام الخيار --userspec. تقوم الأداة بحل تحديد المستخدم عبر دالة getpwnam() بعد الدخول إلى بيئة chroot ولكن قبل التخلي عن امتيازات الجذر (root privileges). في الأنظمة القائمة على glibc، يمكن أن يؤدي ذلك إلى تشغيل Name Service Switch (NSS) لتحميل المكتبات المشتركة (مثل libnss_*.so.2) من دليل الجذر الجديد. إذا كان NEWROOT قابلاً للكتابة من قبل مهاجم، فيمكنه حقن وحدة NSS خبيثة لتنفيذ كود عشوائي بصلاحيات الجذر، مما يسهل الهروب الكامل من الحاوية أو تصعيد الامتيازات.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Canonical

حجز

02/04/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359015

CPE

جاهز

CWE

CWE-426 (مؤكد)

CVSS

7.8 (CNA)

EPSS

0.00014

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35368
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35368
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35368/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!