CVE-2026-40556 in nanoinfo

Zusammenfassung

von VulDB • 16.05.2026

GNU nano erstellt das Benutzer-Verzeichnis ~/.local mit zu weitreichenden Berechtigungen, wenn das Verzeichnis noch nicht existiert. Bei der ersten Nutzung von Funktionen, die eine Speicherung von Daten gemäß den Cross-Desktop Group (XDG)-Standards erfordern, fordert nano explizit den Verzeichnismodus 0777 an, wodurch das Verzeichnis in Umgebungen, in denen das Prozess-umask die Berechtigungen nicht ausreichend einschränkt, für alle Benutzer schreibbar wird.

Auf Systemen mit einem lockeren oder Null-umask, wie beispielsweise Container-Umgebungen, CI/CD-Läufern, eingebetteten Systemen oder Benutzershells, die mit umask 000 konfiguriert sind, führt dies dazu, dass ~/.local als für alle Benutzer schreibbar erstellt wird. Ein lokaler Angreifer kann eine Race-Bedingung zwischen der Erstellung von ~/.local durch nano und der nachfolgenden Erstellung restriktiverer Unterverzeichnisse ausnutzen, um angreiferkontrollierte Dateien in die XDG-Verzeichnisstruktur des Opfers zu schreiben.

Dieses Problem wurde in nano Version 9.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

CERT-PL

Reservieren

14.04.2026

Veröffentlichung

28.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359979

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40556
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40556
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40556/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!