En proof-of-concept-exploit har släppts för CVE-2025-8941, en högprioriterad brist i Linux-PAM:s pam_namespace-modul. Sårbarheten låter lokala angripare med låga privilegier få root-åtkomst genom race conditions och symlink-manipulation. Säkerhetsexperter uppmanar till omedelbar patchning för att förhindra systemkompromiss.
Sårbarheten, spårad som CVE-2025-8941, påverkar Pluggable Authentication Modules (PAM) som används i olika Linux-distributioner. Upptäckt i pam_namespace-modulen, som hanterar användarspecifika namnområden, uppstår bristen från otillbörlig hantering av användarkontrollerade sökvägar under namnområdeskonfiguration. Betygsatt 7.8 högt på CVSS-skalan kräver den lokal åtkomst och användarinteraktion men kräver endast låga privilegier från angriparen.
Angripare kan utnyttja en race condition under mappinläggning genom att skapa symlänkar som omdirigerar PAM:s mappinläsningsprocess till känsliga systemplatser. Vid korrekt timing möjliggör detta skapande eller ändring av filer med root-auktoritet, vilket leder till full systemkontroll, potentiell dataläckage och förmåga att inaktivera säkerhetskonfigurationer eller installera bakdörrar.
Proof-of-concepten, publicerad den 20 oktober 2025, demonstrerar hur filsystemets timing kan manipuleras för root-privilegieskalering. Detta ökar riskerna i delade system, flanvändarservrar och utvecklingsmiljöer, där lokal åtkomst är vanlig. Även om attackkomplexiteten är måttlig är konsekvenserna för opatchade system allvarliga, inklusive fullständig kompromiss eller exponering av konfidentiell data.
Alla Linux-PAM-versioner före den senaste leverantörspatchen är sårbara. Administratörer bör uppdatera via sin distributions säkerhetskanaler omedelbart. Tillfälliga åtgärder inkluderar övervakning av ovanliga symlink-skapanden, distribution av host-intrångsdetekteringssystem, begränsning av skrivrättigheter i temporära mappar och isolering av icke-privilegierade användare. Endast den officiella patchen löser dock problemet fullt ut, vilket understryker behovet av robust patchhantering mot subtila filsystemssårbarheter.