Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu GNU nano i koordynował proces ujawniania informacji.

Podatność CVE-2026-40556: Jeżeli katalog ~/.local użytkownika nie istnieje, GNU nano tworzy go z nadmiernie wysokimi uprawnieniami. Podczas pierwszego użycia funkcji wymagających przechowywania danych zgodnie ze specyfikacją Cross‑Desktop Group (XDG), nano jawnie żąda uprawnień katalogu 0777, co skutkuje nadaniem uprawnień zapisu dla wszystkich użytkowników w środowiskach, w których mechanizm umask nie ogranicza ich w wystarczającym stopniu. W systemach z niewystarczająco restrykcyjnym umaskiem - takich jak środowiska kontenerowe, potoki CI/CD, systemy wbudowane lub powłoki użytkowników skonfigurowane z umask 000 - prowadzi to do utworzenia katalogu ~/.local z możliwością zapisu dla wszystkich. Lokalny atakujący może następnie wykorzystać okno czasowe pomiędzy utworzeniem katalogu ~/.local przez nano a późniejszym tworzeniem bardziej restrykcyjnych podkatalogów, w celu zapisania plików kontrolowanych przez atakującego w hierarchii katalogów XDG ofiary.

Ten problem został naprawiony w nano wersji 9.0

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z firmy AFINE.