Une vulnérabilité critique référencée CVE-2026-32746 a été découverte dans le service Telnet (telnetd) du paquet GNU Inetutils, affectant toutes les versions jusqu’à la 2.7. Cette faille est due à un dépassement de mémoire (buffer overflow) dans la gestion de l’option LINEMODE SLC (Set Local Characters), causé par une mauvaise validation des données entrantes. En pratique, le serveur peut écrire en dehors des limites de la mémoire allouée, ce qui compromet l’intégrité du système. Classée avec un score de gravité très élevé (CVSS 9.8), cette vulnérabilité est particulièrement dangereuse car elle ne nécessite ni authentification ni interaction de l’utilisateur pour être exploitée, rendant les systèmes exposés extrêmement vulnérables.

L’exploitation de cette faille permet à un attaquant distant d’envoyer un paquet spécialement conçu dès l’établissement de la connexion Telnet, avant même toute phase d’authentification. Cela peut entraîner l’exécution de code arbitraire avec des privilèges élevés, souvent équivalents à ceux de l’administrateur (root). Cette capacité offre un contrôle total sur la machine ciblée, permettant l’installation de malwares, la modification des configurations ou encore l’accès aux données sensibles. Le fait que Telnet utilise par défaut le port 23, souvent exposé sur des systèmes anciens ou mal sécurisés, augmente considérablement la surface d’attaque et facilite les tentatives d’exploitation à grande échelle.

Cette vulnérabilité met en lumière les risques liés à l’utilisation de protocoles obsolètes comme Telnet, encore présents dans certains environnements industriels ou équipements anciens. En l’absence de correctif immédiatement déployé à grande échelle, les experts recommandent des mesures de mitigation urgentes, telles que la désactivation du service Telnet, la limitation de son accès via des règles de filtrage réseau, ou son remplacement par des alternatives sécurisées comme SSH. Cet incident souligne l’importance d’une gestion proactive des vulnérabilités et de la modernisation des infrastructures afin de réduire les risques d’attaques critiques.