Vulnerabilidades críticas en Linux 2025

Vulnerabilidad - 19 junio

Introducción

CVE-2025-6018 permite a un atacante local en sistemas SUSE y derivados aprovechar una mala configuración de pam_env para obtener privilegios indebidos con ayuda de pam_systemd, apareciendo como un usuario activo. Esta vulnerabilidad se puede encadenar con la CVE-2025-6019 para escalar a root mediante udisks.

Análisis

CVE-2025-6018 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

CVE‑2025‑6018 es una vulnerabilidad de elevación local de privilegios (LPE) que afecta a la configuración del módulo de autenticación PAM en openSUSE Leap 15 y SUSE Linux Enterprise 15. Un atacante con acceso local puede explotar una configuración permisiva de pam_env para manipular variables de entorno como XDG_SEAT y XDG_VTNR, engañando a pam_systemd para aparecer como un usuario físicamente “activo” (“allow_active”). Esto permite ejecutar acciones protegidas por polkit reservadas para usuarios locales

Versiones afectadas

Afecta principalmente a SUSE 15, pero el exploit ha sido probado también en Ubuntu, Debian y Fedora.

Recomendaciones

• Actualizar los paquetes afectados, especialmente pam, udisks2 y libblockdev, con los parches oficiales.
• Editar las políticas de polkit para evitar el uso de allow_active en acciones sensibles, reemplazándolo por auth_admin. 
• Se aconseja revisar la configuración de pam_env para limitar variables como XDG_SEAT.

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias 

• https://thehackernews.com/2025/06/new-linux-flaws-enable-full-root-access.html
• https://feedly.com/cve/CVE-2025-6018
• https://blog.qualys.com/vulnerabilities-threat-research/2025/06/17/qualys-tru-uncovers-chained-lpe-suse-15-pam-to-full-root-via-libblockdev-udisks
• https://ubuntu.com/blog/udisks-libblockdev-lpe-vulnerability-fixes-available