В утилите smb4k, применяемой в KDE для обнаружения и монтирования SMB-разделов, выявлены уязвимости, позволяющие получить root-доступ к системе. Проблемы устранены в выпуске Smb4K 4.0.5. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch и FreeBSD.
Для виконання привілейованих дій smb4k використовуються KAuth-обробники, що запускаються з правами root. Вразливості присутні в обробнику Smb4KMountHelper і викликані тим, що функції для монтування (CVE-2025-66003) та відмонтування (CVE-2025-66002) мережної файлової системи належним чином не фільтрували опції, що передаються командам mount.cifs. непривілейованому користувачеві передати даним командам будь-які опції через параметр mh_options.
Наприклад, за допомогою опцій "filemode = 04777, uid = 0" всім файлам у примонтованому розділі буде виставлений прапор suid root. Користувач може запустити SMB-сервер і примонтувати з нього власний розділ з необхідними файлами, що виконуються з правами root.
В обробнику Smb4KMountHelper також належним чином не перевірялися цільові каталоги, що, наприклад, дозволяло примонтувати свій розділ SMB замість каталогу /bin і підставити в нього модифіковану версію /bin/bash. Крім того, через параметр mh_krb5ticket можна змінити шлях до файлу з обліковими даними Kerberos і домогтися виведення вмісту будь-якого файлу, наприклад /etc/shadow, stderr або публічно доступний лог.
Вразливість функції Smb4KMountHelper::unmount() може використовуватися для виклику відмови в обслуговуванні через відмонтування системних розділів, маніпулюючи вмістом параметра mh_mountpoint. Цікаво, що в коді була перевірка на тип розділу, яка пропускала лише розділи cifs, smbfs та smb3, але в if-блоці для виведення помилки було пропущено оператора «return» і виконання не переривалося.
Джерело: opennet.ru
