CVE-2026-54231
Moderat

CVE-2026-54231: Injektion i libreport ABRT på Linux

Lokal sårbarhed i libreport lader en almindelig bruger manipulere fejlrapportfiler skrevet af root via systemd-loggen.

CVSS Score
5.5
Offentliggjort
13/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

En sårbarhed i libreport — et hjælpeprogram til automatisk fejlrapportering på Linux — gør det muligt for en lokal bruger at snige uønsket indhold ind i fejlrapporter. Når et program crasher, henter libreport automatisk log-oplysninger fra systemd-journalen og gemmer dem i en fejlrapportmappe. Problemet er, at programmet ikke filtrerer særlige kontroltegn (f.eks. linjeskift) fra log-beskeder. En bruger kan derfor bevidst skrive vildledende beskeder i systemloggen og på den måde bestemme, hvad root (systemadministratoren) skriver til fejlrapportfilerne.

Hvem rammer det?

Sårbarheden rammer Linux-systemer — primært Red Hat-baserede distributioner som RHEL, Fedora og CentOS — der bruger libreport og ABRT (Automatic Bug Reporting Tool) til fejlhåndtering. Det kræver, at angriberen allerede har en lokal brugerkonto på systemet. Virksomheder med delte servere, udviklingsmiljøer eller systemer hvor flere brugere kan logge ind lokalt, er særligt eksponerede.

Hvad kan ske?

En angriber med en almindelig brugerkonto kan manipulere indholdet af fejlrapportfiler, som root skriver til disken. Det kan bruges til at forfalske fejlrapporter, skjule spor af ondsindet aktivitet eller — i kombination med andre sårbarheder — potentielt eskalere rettigheder (få administratoradgang). Angriberen kan ikke direkte læse fortrolige data eller lukke systemet ned via denne sårbarhed alene, men integriteten af systemets fejlrapporteringsdata kompromitteres.

Hvor alvorligt er det?

CVSS-scoren er 5,5 ud af 10 (moderat). Sårbarheden kræver fysisk eller logisk adgang til systemet som en almindelig bruger — den kan ikke udnyttes eksternt via internettet alene. Påvirkningen er primært på integritet (I=HIGH): data kan forfalskes. Der er ingen direkte risiko for datalæk (C=NONE) eller nedbrud (A=NONE). Alvorligheden stiger markant, hvis din virksomhed har brugere med lavt tillidsniveau, der har adgang til jeres Linux-servere.

Hvad gør jeg nu?

Følg disse trin for at beskytte dine systemer:

  1. Identificér eksponerede systemer: Find ud af, om I bruger libreport og ABRT på jeres Linux-servere. Kør kommandoen rpm -q libreport abrt på Red Hat-baserede systemer.
  2. Opdatér libreport: Tjek om din Linux-distribution (f.eks. RHEL eller Fedora) har udsendt en sikkerhedsopdatering og installér den hurtigst muligt via jeres pakkehåndtering.
  3. Begræns lokale brugeradgange: Gennemgå hvem der har lokal adgang til jeres servere. Fjern unødvendige brugerkonti eller begræns rettighederne til kun det nødvendige.
  4. Overvej at deaktivere ABRT: Hvis I ikke aktivt bruger automatisk fejlrapportering, kan I midlertidigt deaktivere ABRT-tjenesten som en forebyggende foranstaltning, indtil en patch er på plads.
  5. Overvåg systemloggen: Hold øje med usædvanlige log-aktiviteter, der kan indikere forsøg på udnyttelse af sårbarheden.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Vi anbefaler, at du inden for de næste 30 dage opdaterer libreport på alle berørte Linux-systemer, så snart din distribution udsender en officiel patch. Mens du venter, bør du som minimum gennemgå og stramme op på, hvem der har lokal adgang til jeres servere — jo færre brugere med adgang, jo lavere er risikoen. Har I ikke et aktuelt behov for automatisk fejlrapportering via ABRT, er det en god idé at deaktivere tjenesten midlertidigt.

Tidslinje

13/06/2026
CVE offentliggjort
CVE-2026-54231 blev officielt registreret i NVD-databasen med en CVSS-score på 5,5 (moderat). Sårbarheden i libreports ABRT-hændelsesscripts blev offentligt beskrevet.
13/06/2026
Teknisk detaljeniveau tilgængeligt
Den tekniske beskrivelse af sårbarheden, herunder angrebsvektoren via systemd-journalen og manglende sanering af kontroltegn, blev offentliggjort. Dette giver potentielle angribere tilstrækkelig information til at forsøge udnyttelse.
14/06/2026
Afventer officiel patch
På tidspunktet for offentliggørelsen var en officiel rettelse endnu ikke bekræftet udsendt. Berørte distributioner som Red Hat og Fedora forventes at udsende sikkerhedsopdateringer i de kommende dage til uger.

Konkrete eksempler

Forfalskede fejlrapporter skjuler angrebsspor

En medarbejder med en standard brugerkonto på en delt Linux-server skriver bevidst en syslog-besked med skjulte linjeskift-tegn, der får det til at se ud som om, der er tastet normale log-linjer. Når et program crasher og ABRT kører, kopierer libreport disse manipulerede linjer direkte ind i fejlrapporten. Systemadministratoren, der efterfølgende gennemgår rapporten, ser et forvansket billede af hændelsesforløbet — og angribers tidligere aktiviteter er sværere at opdage.

Forberedelse til rettighedseskalering

En angriber, der allerede har kompromitteret en lavprivilegeret brugerkonto via f.eks. phishing, bruger denne sårbarhed til at injicere indhold i fejlrapportfiler skrevet af root. Hvis disse filer efterfølgende behandles af et andet automatiseret script eller program med administratorrettigheder, kan det injicerede indhold udløse yderligere skade — f.eks. ændre konfigurationsfiler eller plante bagdøre.

Manipulation af revisionslog på delt udviklingsserver

På en virksomheds interne udviklingsserver, hvor flere udviklere deler adgang, injicerer én bruger falske log-poster i systemd-journalen. Når næste programnedbrud opstår, skrives de falske poster til ABRT’s dump-mappe. En revisor eller IT-ansvarlig, der gennemgår logfilerne efter en sikkerhedshændelse, kan blive vildledt af de manipulerede data og drage forkerte konklusioner om hændelsesforløbet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CWE-svaghedstyper

CWE-74

Original NVD-beskrivelse (engelsk)

A content injection vulnerability was found in the ABRT post-create event handler scripts in libreport. The event script queries the systemd journal for log entries matching the crashed process and writes the results to files in the dump directory without sanitizing embedded control characters. A local user can inject arbitrary content into the journal output by embedding newline characters in syslog messages, controlling the content that root writes to dump directory files.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-54231
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.