Um exploit de prova de conceito foi lançado para CVE-2025-8941, uma falha de alta severidade no módulo pam_namespace do Linux-PAM. A vulnerabilidade permite que atacantes locais com privilégios baixos obtenham acesso root por meio de condições de corrida e manipulação de links simbólicos. Especialistas em segurança instam a aplicação imediata de patches para prevenir o comprometimento do sistema.
A vulnerabilidade, rastreada como CVE-2025-8941, afeta os Módulos de Autenticação Pluggable (PAM) usados em várias distribuições Linux. Descoberta no módulo pam_namespace, que gerencia namespaces por usuário, a falha surge do manuseio inadequado de caminhos controlados pelo usuário durante a configuração do namespace. Classificada como 7.8 alta na escala CVSS, requer acesso local e interação do usuário, mas exige apenas privilégios baixos do atacante.
Atacantes podem explorar uma condição de corrida durante a criação de pastas criando symlinks que redirecionam o processo de criação de diretórios do PAM para locais sensíveis do sistema. Quando cronometrado corretamente, isso permite a criação ou modificação de arquivos com autoridade root, levando ao controle total do sistema, vazamento potencial de dados e a capacidade de desabilitar configurações de segurança ou instalar backdoors.
A prova de conceito, publicada em 20 de outubro de 2025, demonstra como o tempo do sistema de arquivos pode ser manipulado para escalação de privilégios root. Isso aumenta os riscos em sistemas compartilhados, servidores multiusuário e ambientes de desenvolvimento, onde o acesso local é comum. Embora a complexidade do ataque seja moderada, as consequências para sistemas sem patches são graves, incluindo comprometimento completo ou exposição de dados confidenciais.
Todas as versões do Linux-PAM anteriores ao último patch do fornecedor são vulneráveis. Administradores devem atualizar por meio dos canais de segurança de sua distribuição imediatamente. Mitigações temporárias incluem monitoramento de criações incomuns de symlinks, implantação de sistemas de detecção de intrusão no host, restrição de permissões de escrita em diretórios temporários e isolamento de usuários sem privilégios. No entanto, apenas o patch oficial resolve completamente o problema, enfatizando a necessidade de gerenciamento robusto de patches contra vulnerabilidades sutis no sistema de arquivos.