Vulnerabiliade no CUPS Linux permite obter acesso root

10/04/2026 mindsecblog Notícias 0

Vulnerabilidades no CUPS podem permitir que atacantes remotos obtenham execução de código em nível de root.

Uma equipe de agentes de busca de vulnerabilidades baseados em IA, liderada pelo pesquisador de segurança Asim Viladi Oglu Manizada, descobriu duas falhas de segurança críticas no CUPS, o sistema de impressão padrão para sistemas operacionais Linux e similares ao Unix .

Quando encadeadas, essas vulnerabilidades permitem que um invasor remoto não autenticado obtenha execução remota de código sem privilégios e, eventualmente, eleve seu acesso para conseguir sobrescrever um arquivo em nível de root.

Como o agendador de impressão CUPS é executado com altos privilégios de sistema, esse software representa uma ampla superfície de ataque para agentes maliciosos que buscam comprometer servidores.

CVE-2026-34980: Execução remota de código via filas PostScript

A primeira vulnerabilidade, identificada como CVE-2026-34980, permite que um atacante execute código malicioso pela rede.

Este problema afeta sistemas configurados para expor uma fila de impressão PostScript compartilhada sem exigir autenticação do usuário .

Por padrão, o sistema CUPS aceita solicitações anônimas de trabalhos de impressão em filas compartilhadas. A essência dessa vulnerabilidade reside em um erro de análise na forma como o software lida com os atributos dos trabalhos de impressão.

Quando um invasor insere um caractere de nova linha em uma opção de impressão, o software CUPS não consegue remover esse caractere corretamente durante o processamento.

Essa falha permite que o texto inserido pelo atacante sobreviva às verificações de segurança do sistema. Como resultado, o atacante pode injetar um comando de configuração confiável nas configurações da fila.

Ao modificar a configuração da fila, o atacante força o sistema a executar um programa escolhido arbitrariamente como filtro de impressão. Isso concede execução remota de código na máquina comprometida, utilizando a conta de usuário padrão do serviço de impressão.

CVE-2026-34990: Elevação de privilégios local para root

A segunda vulnerabilidade, identificada como CVE-2026-34990, permite que qualquer usuário local com privilégios baixos assuma o controle do sistema, sobrescrevendo arquivos críticos como usuário root.

Diferentemente da primeira falha, essa escalada de privilégios local opera contra a configuração padrão do sistema de impressão CUPS. O ataque começa quando um usuário local comprometido configura uma impressora local falsa e temporária, que escuta em uma porta de rede específica.

Quando o sistema CUPS tenta validar essa impressora recém-criada, o invasor intercepta o processo e força o sistema a entregar seu token de administrador local com altos privilégios.

De posse desse token roubado, o atacante cria rapidamente uma segunda fila temporária apontando para um caminho de arquivo local sensível, conforme relatado por heyitsas .

Ao vencer uma breve condição de corrida antes que o sistema limpe a fila temporária, o atacante pode compartilhar a impressora e imprimir diretamente em arquivos de sistema restritos. Isso efetivamente sobrescreve arquivos com conteúdo malicioso para conceder acesso root completo.

No início de abril de 2026, já existiam commits de código públicos para corrigir essas vulnerabilidades, mas uma versão corrigida formal ainda não estava disponível.

É altamente recomendável que os administradores de sistema desabilitem a exposição da rede para o CUPS. Caso seja necessário utilizar uma fila de impressão compartilhada, os administradores devem impor requisitos rigorosos de autenticação.

Além disso, garantir que o serviço CUPS opere sob um módulo de segurança robusto, como o AppArmor ou o SELinux, restringirá os arquivos aos quais o serviço pode acessar. Essa estratégia de contenção reduz significativamente o impacto, bloqueando a sobrescrita não autorizada de arquivos.

Por Divya publicado no GBHackers

Clique e fale com representante oficial Sophos