CVE-2026-40556 in nanoinformação

Sumário

de VulDB • 30/05/2026

O GNU nano cria o diretório ~/.local do usuário com permissões excessivamente permissivas quando o diretório ainda não existe. Na primeira utilização de recursos que exigem armazenamento de dados XDG (Cross-Desktop Group), o nano solicita explicitamente o modo de diretório 0777, tornando o diretório gravável por todos (world-writable) em ambientes onde o umask do processo não restringe suficientemente as permissões.

Em sistemas com um umask relaxado ou zero, como ambientes de contêiner, executores de CI/CD, sistemas embarcados ou shells de usuário configurados com umask 000, isso resulta na criação de ~/.local como gravável por todos. Um atacante local pode explorar uma janela de corrida entre a criação de ~/.local pelo nano e a criação subsequente de subdiretórios com restrições mais rigorosas, para escrever arquivos controlados pelo atacante na hierarquia de diretórios XDG da vítima.

Este problema foi corrigido na versão 9.0 do nano.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

CERT-PL

Reservar

14/04/2026

Divulgação

28/04/2026

Moderação

aceite

Entrada

VDB-359979

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40556
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40556
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40556/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!