Kerentanan kritis pada alat manajemen daya Linux TLP telah diperbaiki setelah peneliti menemukan bahwa celah tersebut memungkinkan penyerang lokal melewati autentikasi dan mengubah pengaturan sistem. Celah tersebut, yang diidentifikasi pada versi 1.9.0 dan dilacak sebagai CVE-2025-67859, berasal dari kondisi balapan pada mekanisme Polkit. Pengembang TLP merilis versi 1.9.1 pada 7 Januari 2026, mengatasi masalah tersebut setelah pengungkapan terkoordinasi.
Peneliti keamanan dari SUSE dan openSUSE menemukan bypass autentikasi serius pada versi 1.9.0 TLP, sebuah utilitas populer untuk mengoptimalkan masa pakai baterai laptop pada sistem Linux. Dilacak sebagai CVE-2025-67859, kerentanan ini mengeksploitasi subjek usang Polkit «unix-process», yang bergantung pada ID proses untuk otorisasi. Metode ini, yang diketahui rentan terhadap kondisi balapan sejak CVE-2013-4288, memungkinkan pengguna lokal tidak berprivilegi untuk mengganti proses mereka selama pemeriksaan autentikasi, mendapatkan kendali atas profil daya dan logging daemon tanpa kredensial administratif. Masalah ini muncul dengan pengenalan daemon daya baru di TLP 1.9.0, yang menampilkan API D-Bus untuk pengaturan sistem. Peneliti Matthias Gerstner dan Filippo Bonazzi mengidentifikasi bahwa penyerang dapat mengeksploitasi ini untuk mengubah konfigurasi secara arbitrer di lingkungan multi-pengguna, menimbulkan risiko pemalsuan sistem. Celah tambahan mencakup nilai cookie yang dapat diprediksi yang memungkinkan pelepasan hold profil tanpa izin, penanganan pengecualian yang tidak ditangani dari permintaan yang rusak, dan hold profil tak terbatas yang dapat menyebabkan serangan penolakan layanan. Ini secara kolektif memperluas permukaan serangan. Pada 16 Desember 2025, peneliti memberi tahu pengembang upstream TLP, yang merespons dengan cepat dan menyediakan patch dalam empat hari. Setelah ditinjau, TLP 1.9.1 dirilis pada 7 Januari 2026, menerapkan perbaikan utama: beralih ke subjek «system bus name» Polkit yang aman, menggunakan nilai cookie acak kriptografis, membatasi hold profil bersamaan menjadi 16, dan meningkatkan validasi input. Pengguna dan administrator Linux dianjurkan untuk memperbarui ke versi 1.9.1 atau lebih baru melalui manajer paket distribusi mereka. Insiden ini menyoroti kebutuhan keamanan yang kuat pada utilitas yang menangani operasi D-Bus berprivilegi, dengan respons kolaboratif cepat yang mencontohkan manajemen kerentanan yang efektif.
