Kerentanan tingkat tinggi dalam kerangka Linux Pluggable Authentication Modules, yang diidentifikasi sebagai CVE-2025-8941, memungkinkan penyerang lokal memperoleh hak akses root melalui serangan symlink dan kondisi balapan. Peneliti keamanan telah merilis exploit proof-of-concept, menyoroti risiko pada sistem Linux. Kelemahan ini memengaruhi beberapa distribusi dan memerlukan penambalan segera.
Kerentanan CVE-2025-8941 diungkap pada 19 Oktober 2025, menargetkan modul pam_namespace di Linux-PAM, yang mengelola namespace untuk sesi pengguna. Masalah ini timbul dari penanganan yang tidak tepat terhadap jalur yang dikendalikan pengguna, memungkinkan penyerang dengan akses lokal dan hak istimewa rendah untuk menyisipkan tautan simbolik yang membajak proses pembuatan direktori. Dengan mengeksploitasi kondisi balapan, penyerang dapat menipu sistem untuk membangun struktur sensitif pada sistem file root, yang mengarah pada eskalasi hak istimewa root penuh.
Dinilai 7.8 pada skala CVSS v3.1, kerentanan ini memerlukan beberapa interaksi pengguna tetapi tidak menimbulkan risiko eksploitasi jarak jauh. Ini memengaruhi semua versi Linux-PAM sebelum patch terbaru di berbagai distribusi termasuk Ubuntu, Fedora, dan Red Hat Enterprise Linux. Di lingkungan multi-pengguna, ini dapat memungkinkan pengguna dengan hak istimewa rendah menjadi superuser, berpotensi menyebabkan kompromi sistem dan pelanggaran data.
Ahli keamanan menekankan perlunya perhatian segera, terutama untuk server dan desktop yang bergantung pada Linux-PAM untuk autentikasi. Exploit proof-of-concept telah dirilis, menunjukkan kelayakan serangan melalui scripting canggih dan sinkronisasi waktu. Sementara alat seperti firewall aplikasi web atau sistem deteksi intrusi menawarkan perlindungan terbatas terhadap ancaman jaringan, mereka tidak menangani eksploitasi lokal.
Administrator disarankan untuk menerapkan patch dari vendor distribusi segera setelah tersedia, mengaudit hak istimewa pengguna lokal, menonaktifkan fitur pam_namespace yang tidak perlu, dan memantau aktivitas symlink mencurigakan menggunakan alat seperti auditd. Pengungkapan ini menekankan tantangan berkelanjutan dalam mengamankan sistem autentikasi open-source di tengah ancaman yang berkembang.