Se ha publicado un exploit de prueba de concepto para CVE-2025-8941, una falla de alta severidad en el módulo pam_namespace de Linux-PAM. La vulnerabilidad permite a atacantes locales con bajos privilegios obtener acceso root mediante condiciones de carrera y manipulación de enlaces simbólicos. Los expertos en seguridad instan a aplicar parches inmediatamente para prevenir el compromiso del sistema.
La vulnerabilidad, rastreada como CVE-2025-8941, afecta a los Módulos de Autenticación Acoplables (PAM) utilizados en varias distribuciones de Linux. Descubierta en el módulo pam_namespace, que gestiona espacios de nombres por usuario, la falla surge del manejo inadecuado de rutas controladas por el usuario durante la configuración del espacio de nombres. Calificada con 7.8 alto en la escala CVSS, requiere acceso local e interacción del usuario, pero solo exige bajos privilegios del atacante.
Los atacantes pueden explotar una condición de carrera durante la creación de carpetas mediante la creación de enlaces simbólicos que redirigen el proceso de creación de directorios de PAM a ubicaciones sensibles del sistema. Cuando se cronometra correctamente, esto permite la creación o modificación de archivos con autoridad root, lo que lleva a un control total del sistema, posible filtración de datos y la capacidad de deshabilitar configuraciones de seguridad o instalar puertas traseras.
La prueba de concepto, publicada el 20 de octubre de 2025, demuestra cómo se puede manipular el tiempo del sistema de archivos para la escalada de privilegios root. Esto aumenta los riesgos en sistemas compartidos, servidores multiusuario y entornos de desarrollo, donde el acceso local es común. Aunque la complejidad del ataque es moderada, las consecuencias para sistemas sin parches son graves, incluyendo un compromiso completo o la exposición de datos confidenciales.
Todas las versiones de Linux-PAM anteriores al último parche del proveedor son vulnerables. Los administradores deben actualizar a través de los canales de seguridad de su distribución inmediatamente. Las mitigaciones temporales incluyen monitorear la creación inusual de enlaces simbólicos, implementar sistemas de detección de intrusiones en el host, restringir permisos de escritura en directorios temporales e aislar usuarios sin privilegios. Sin embargo, solo el parche oficial resuelve completamente el problema, lo que enfatiza la necesidad de una gestión robusta de parches contra vulnerabilidades sutiles en el sistema de archivos.