CVE-2026-12505
Alvorlig

CVE-2026-12505: Alvorlig fejl i cifs-utils på Linux

Fejl i cifs-utils giver lokale brugere mulighed for at overtage fuld kontrol over systemet via manipuleret roothjælper.

CVSS Score
7.8
Offentliggjort
18/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

En sikkerhedsfejl i pakken cifs-utils — et værktøj der bruges på Linux-systemer til at oprette forbindelser til Windows-fildelinger (SMB/CIFS) — gør det muligt for en angriber at narre et hjælpeprogram, der kører med administratorrettigheder (root), til at indlæse ondsindet kode. Fejlen opstår fordi hjælpeprogrammet cifs.upcall ikke korrekt opgiver sine forhøjede rettigheder, inden det slår brugeroplysninger op. En angriber kan udnytte dette til at snyde programmet ind i et kontrolleret miljø og dermed køre vilkårlige kommandoer som systemadministrator.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der bruger Linux-baserede servere eller arbejdsstationer med cifs-utils installeret — typisk for at tilgå delte Windows-netværksdrev. Det kræver, at angriberen allerede har en brugerkonto med begrænset adgang på det pågældende system. Det er derfor særligt relevant hvis:

  • I har Linux-maskiner der er koblet til Windows-fildeling eller Active Directory
  • I har flere brugere med login på samme Linux-system
  • I anvender cloud- eller on-premise Linux-servere med SMB-mount

Hvad kan ske?

Hvis en angriber med en normal brugerkonto udnytter denne sårbarhed, kan vedkommende opnå fuld administratorkontrol (root) over systemet. Det betyder at angriberen kan:

  • Læse, ændre eller slette alle filer på serveren — herunder fortrolige data
  • Installere skadelig software eller bagdøre
  • Slette sikkerhedslogfiler og skjule spor
  • Bevæge sig videre til andre systemer på netværket

Et kompromitteret system kan føre til datatab, brud på persondataforordningen (GDPR) og driftstop.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.8 — Alvorlig. Angrebet kræver lokal adgang og en eksisterende brugerkonto, men selve udnyttelsen er teknisk relativt enkel (lav kompleksitet). Konsekvenserne er maksimale: fuld kontrol over fortrolighed, integritet og tilgængelighed på det ramte system. Det er klassificeret som CWE-250 (Execution with Unnecessary Privileges — kørsel med unødvendige rettigheder), hvilket er en velkendt og hyppigt udnyttet fejlkategori.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt, særligt hvis I har Linux-systemer med cifs-utils installeret:

  1. Identificér berørte systemer: Find alle Linux-servere og -arbejdsstationer i jeres organisation hvor cifs-utils er installeret. Din IT-ansvarlige kan køre kommandoen dpkg -l cifs-utils (Debian/Ubuntu) eller rpm -q cifs-utils (RHEL/CentOS) for at tjekke.
  2. Opdatér cifs-utils: Installer den seneste opdaterede version af pakken via jeres Linux-distributions pakkehåndtering, så snart en patch er tilgængelig fra distributøren.
  3. Begræns lokal adgang: Sørg for at kun nødvendige medarbejdere har login-adgang til Linux-systemer med cifs-utils. Fjern unødvendige brugerkonti.
  4. Overvåg for mistænkelig aktivitet: Bed jeres IT-ansvarlige om at gennemse systemlogfiler for usædvanlige handlinger med forhøjede rettigheder.
  5. Kontakt jeres IT-leverandør: Hvis I ikke selv har ressourcer til at håndtere dette, så kontakt jeres IT-support eller en cybersikkerhedskonsulent for assistance.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Vi anbefaler at I prioriterer at kortlægge og opdatere alle Linux-systemer med cifs-utils installeret hurtigst muligt. Begræns samtidig antallet af brugere med lokal adgang til disse systemer, indtil en officiel patch er installeret. Denne type privilegieeskalering (når en normal bruger opnår administratorrettigheder) er en af de mest kritiske fejltyper, fordi den kan give en angriber komplet kontrol — selv uden at komme udefra. Har I brug for hjælp til at gennemgå jeres Linux-miljø, er I velkomne til at kontakte os.

Tidslinje

18/06/2026
CVE offentliggjort
CVE-2026-12505 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 7.8 (Alvorlig).
18/06/2026
Tekniske detaljer frigivet
Den fulde tekniske beskrivelse af sårbarheden i cifs.upcall-hjælpeprogrammet blev offentliggjort, hvilket giver potentielle angribere indsigt i udnyttelsesmetoden.
19/06/2026
Proof-of-concept forventet tilgængeligt
Baseret på sårbarhedens lave kompleksitet og den offentliggjorte beskrivelse vurderes det, at proof-of-concept eksploitkode kan dukke op kort efter offentliggørelsen.
09/07/2026
Officiel patch fra distributører
Linux-distributioner som Red Hat, Ubuntu og Debian arbejder på at frigive opdaterede versioner af cifs-utils-pakken. Følg jeres distributions sikkerhedsopdateringer.

Konkrete eksempler

Intern medarbejder eskalerer rettigheder

En medarbejder med en normal brugerkonto på en virksomhedens Linux-filserver opdager sårbarheden. Ved at sende et særligt udformet request_key-kald narrer medarbejderen cifs.upcall-hjælpeprogrammet til at indlæse et ondsindet NSS-modul fra et kontrolleret miljø. Hermed kører medarbejderens kode med fuld root-adgang og kan tilgå alle kollegaers filer og virksomhedens fortrolige dokumenter.

Angriber bruger kompromitteret konto som springbræt

En angriber har via phishing fået adgang til en medarbejders brugernavn og adgangskode til et Linux-system. Med denne begrænsede adgang udnytter angriberen CVE-2026-12505 til at eskalere til root-rettigheder. Derfra installerer angriberen ransomware eller eksporterer virksomhedens kundedata, uden at de normale sikkerhedskontroller opdager det i tide.

Ondsindet NSS-modul bruges til bagdør

En teknisk kyndig angriber med lokal adgang opretter et skræddersyet ondsindet NSS-modul (Name Service Switch — et Linux-system til brugeroplysninger) og et tilpasset namespace-miljø. Når cifs.upcall kører med root-rettigheder og indlæser dette modul, eksekveres angriberens kode som administrator. Angriberen opretter en skjult root-bagdørskonto og bevarer permanent adgang til systemet, selv efter at den oprindelige sårbarhed patches.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-250

Original NVD-beskrivelse (engelsk)

A flaw was found in the cifs-utils package where the cifs.upcall helper fails to securely drop its root privileges before looking up user information inside a user-controlled environment. A local, low privileged attacker can exploit this by using a crafted request_key payload to trick the root-owned helper into entering a custom environment (namespace) containing a malicious NSS module. This forces the system to load the attacker’s controlled NSS Module and configuration, allowing them to execute arbitrary commands as the root user, elevating their privileges and fully compromising the system.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12505
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.