Origine : bjCSIRT

Numéro : 2026/ALERTE/013

APERÇU :

Une vulnérabilité critique affectant Telnetd permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire ou de provoquer un déni de service sur les systèmes affectés.

DESCRIPTION :

Telnetd (Telnet daemon) est un service qui permet aux utilisateurs de se connecter à distance à un serveur ou à un équipement réseau via le protocole de communication telnet. 

Ce service est affecté par une vulnérabilité critique libellée CVE-2026-32746 résultant d’un manque de vérification de la taille des données dans la fonction add_slc, utilisée dans la gestion du protocole Telnet. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de provoquer un débordement de tampon et d’exécuter du code arbitraire à distance avec les privilèges root. 

Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1. 

IMPACT

• Exécution de code à distance ;
• Déni de service ;
• Atteinte à la confidentialité des données ;
• Compromission de l’intégrité du système. 

SYSTÈMES AFFECTÉS :

Les versions du service Telnet jusqu’à la 2.7 incluse. 

MESURES À PRENDRE :

• Désactiver le service Telnet si celui-ci n’est pas indispensable, ou le remplacer par une alternative plus sécurisée comme SSH ;
• Restreindre l’accès au service Telnet uniquement aux adresses IP autorisées ;
• Surveiller les tentatives de connexions suspectes ainsi que d’éventuels crashs du service ;
• Mettre à jour le service Telnet vers la dernière version disponible et stable.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2026-32746
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-32746
• https://thehackernews.com/2026/03/critical-telnetd-flaw-cve-2026-32746.html
• https://www.gnu.org/software/inetutils/