CSIRT Toscana Linux: disponibile PoC pubblico per lo sfruttamento della CVE-2025-8941 (AL03/251020/CSIRT-ITA)
Data:
20 Ottobre 2025
Impatto Sistemico
Alto (72.82)
Sintesi
Disponibile un Proof of Concept (PoC) per la CVE-2025-8941 – già sanata dal vendor ad agosto 2025 – presente in Linux-PAM (Pluggable Authentication Modules), framework di autenticazione modulare utilizzato nei sistemi Linux e Unix-like. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente locale malintenzionato di elevare i propri privilegi sui sistemi interessati, sfruttando attacchi symlink o race condition in directory polistanziate sotto il suo controllo.
Tipologia
Privilege Escalation
Descrizione e potenziali impatti
È stato recentemente reso pubblico un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-8941 – di tipo “ Local Privilege Escalation ” e con score CVSS v3.x pari a 7.8 – presente in Linux-PAM (Pluggable Authentication Modules), framework di autenticazione modulare utilizzato nei sistemi Linux e Unix-like, il cui scopo principale è fornire un’interfaccia flessibile per la gestione dell’autenticazione degli utenti. Linux-PAM è composto da moduli che possono essere “plug-in” in vari servizi: ogni modulo gestisce un aspetto diverso dell’autenticazione.
In dettaglio, la vulnerabilità CVE-2025-8941 – correlata alla CVE-2025-6020 , la quale forniva un’incompleta correzione per il medesimo problema di sicurezza – interessa il modulo pam_namespace , il cui scopo principale è quello di creare ambienti separati per ogni utente, utilizzando una tecnica chiamata “ polyinstantiation” . Questa tecnica consente di generare dinamicamente istanze separate di alcune directory (come /tmp o /var/tmp) per ciascun utente o sessione. A causa di inadeguate restrizioni sui percorsi polistanziati, un utente locale malintenzionato con bassi privilegi potrebbe sfruttare attacchi symlink e race condition, in directory polistanziate sotto il suo controllo, per elevare i propri privilegi fino a root.
Prodotti e/o versioni affette
Distribuzioni Linux che impiegano pam_namespace senza adeguate restrizioni sui percorsi polistanziati.
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2025-8941 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-10-2025 | 20/10/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
20 Ottobre 2025, 14:55