S'han identificat vulnerabilitats que permeten l'accés root al sistema a la utilitat smb4k que s'utilitza al KDE per detectar i muntar particions SMB. Aquests problemes s'han corregit a Smb4K 4.0.5. Podeu comprovar l'estat de la nova versió del paquet o la disponibilitat d'un pegat per a les vostres distribucions a les pàgines següents: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch i FreeBSD.
Smb4k utilitza controladors KAuth que s'executen amb privilegis d'arrel per dur a terme accions privilegiades. Les vulnerabilitats existeixen al controlador Smb4KMountHelper i són causades per les funcions de muntatge (CVE-2025-66003) i desmuntatge (CVE-2025-66002) del sistema de fitxers de xarxa que no filtren correctament les opcions que es passen a les ordres mount.cifs i unmount.cifs, cosa que permet a un usuari sense privilegis passar qualsevol opció a aquestes ordres a través del paràmetre mh_options.
Per exemple, si s'utilitza l'opció "filemode=04777,uid=0", tots els fitxers de la partició muntada es marcaran com a suid root. Un usuari pot iniciar un servidor SMB i muntar-hi una partició personalitzada amb els fitxers executables necessaris, que, quan s'estableixen a "filemode=04777,uid=0", s'executaran amb privilegis de root.
El gestor Smb4KMountHelper tampoc validava correctament els directoris de destinació, cosa que, per exemple, permetia muntar una partició SMB personalitzada en lloc del directori /bin i inserir-hi una versió modificada de /bin/bash. A més, el paràmetre mh_krb5ticket es pot utilitzar per canviar la ruta al fitxer de credencials de Kerberos i generar el contingut de qualsevol fitxer, com ara /etc/shadow, a stderr o a un registre d'accés públic.
Una vulnerabilitat a la funció Smb4KMountHelper::unmount() es pot utilitzar per causar una denegació de servei desmuntant particions del sistema manipulant el paràmetre mh_mountpoint. Curiosament, el codi contenia una comprovació de tipus de partició que només permetia particions cifs, smbfs i smb3, però faltava l'ordre "return" al bloc if per informar d'un error i l'execució no finalitzava.
Font: opennet.ru
