Pubblicato il 2026-07-07 · Fonte: NVD NIST
È stata scoperta una vulnerabilità nel provider LDAP sudo di SSSD, identificata come CVE-2026-14474, con un CVSS Score di 8.8. Questa vulnerabilità si verifica quando l'opzione ldap_sudo_search_base non è configurata esplicitamente, permettendo a SSSD di cercare oggetti sudoRole in tutta la directory LDAP. Un attaccante autenticato con accesso in scrittura a qualsiasi subtree può iniettare un oggetto sudoRole che concede privilegi di sudo di livello root su tutti gli host iscritti a SSSD.
Un attaccante che sfrutta questa vulnerabilità può ottenere privilegi di root su tutti gli host che utilizzano SSSD, permettendogli di eseguire azioni con pieni diritti amministrativi. Ciò rappresenta un rischio significativo per la sicurezza, poiché gli attaccanti possono sfruttare questa vulnerabilità per accedere e controllare sistemi critici.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è raccomandato configurare esplicitamente l'opzione ldap_sudo_search_base per limitare la ricerca degli oggetti sudoRole a specifiche aree della directory LDAP. Inoltre, è importante assicurarsi che solo utenti autorizzati abbiano accesso in scrittura alle aree della directory LDAP che contengono oggetti sudoRole. Non essendo disponibili patch specifiche, è fondamentale adottare pratiche di sicurezza robuste, come il monitoraggio costante degli accessi e la limitazione dei privilegi.
La vulnerabilità CVE-2026-14474 è una debolezza nel provider LDAP sudo di SSSD che permette a un attaccante autenticato di iniettare oggetti sudoRole e ottenere privilegi di root.
Il CVSS Score di CVE-2026-14474 è 8.8, classificandola come alta.
Per proteggersi, configura l'opzione ldap_sudo_search_base, limita l'accesso in scrittura alla directory LDAP e adotta pratiche di sicurezza robuste.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.