🔍 Contexte
Publié le 21 mai 2026 par The Cyber Express, cet article documente une chaîne de vulnérabilités critiques identifiée sous CVE-2026-5140 affectant Pardus Linux, une distribution maintenue par TÜBİTAK et largement déployée dans les institutions gouvernementales, les écoles et les entreprises turques. La vulnérabilité a été découverte et documentée le 13 mars 2026 par le chercheur Çağrı Eser.
⚠️ Vulnérabilité
La faille reçoit un score CVSS v3.1 de 9.3 (Critique) avec le vecteur suivant :
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Le paquet vulnérable est pardus-update, qui gère les mises à jour système via des outils graphiques et des scripts Python privilégiés.
🔗 Chaîne d’exploitation (3 étapes)
1. Bypass d’autorisation Polkit
- Le fichier
/usr/share/polkit-1/actions/tr.org.pardus.pkexec.pardus-update.policyconfigure plusieurs actions privilégiées avecallow_any: yes,allow_inactive: yes,allow_active: yes - Tout utilisateur local peut exécuter
pkexecsans mot de passe administrateur - Actions vulnérables :
aptupdateaction,autoaptupgradeaction,systemsettingswrite - Scripts exécutables en root :
SystemSettingsWrite.py,AutoAptUpgrade.py
2. Injection CRLF dans SystemSettingsWrite.py
- Le script écrit des entrées utilisateur dans
/etc/pardus/pardus-update.conf - Python ConfigParser filtre
\nmais pas\r - Payload d’exploitation :
123\rcustom_sourcesd_path=/tmp/pwn.list - Résultat : injection d’une entrée de configuration malveillante contrôlant le chemin des sources APT
3. Chemin de recherche non fiable dans AutoAptUpgrade.py
- Le script copie des fichiers
.listcontrôlés par l’attaquant directement dans/etc/apt/sources.list.d/sans validation du chemin source - Un paquet Debian malveillant est installé via un dépôt APT contrôlé par l’attaquant
- Le script
postinstdu paquet exécutechmod +s /bin/bash, positionnant le bit SUID sur /bin/bash - Accès root final obtenu via
/bin/bash -p
💥 Impact
L’exploitation réussie permet :
- Lecture de fichiers sensibles
- Installation de backdoors persistants
- Écrasement de fichiers système
- Compromission totale du système en quelques secondes
📄 Type d’article
Il s’agit d’un rapport de vulnérabilité à caractère technique, dont le but principal est de documenter la chaîne d’exploitation de CVE-2026-5140 avec preuve de concept, à destination des équipes de sécurité et administrateurs de Pardus Linux.
🧠 TTPs et IOCs détectés
TTP
- T1548.003 — Abuse Elevation Control Mechanism: Sudo and Sudo Caching (Privilege Escalation)
- T1574.007 — Hijack Execution Flow: Path Interception by PATH Environment Variable (Privilege Escalation)
- T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1222.002 — File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification (Defense Evasion)
- T1543 — Create or Modify System Process (Persistence)
IOC
- CVEs :
CVE-2026-5140— NVD · CIRCL - Fichiers :
SystemSettingsWrite.py - Fichiers :
AutoAptUpgrade.py - Fichiers :
pwn.list - Chemins :
/usr/share/polkit-1/actions/tr.org.pardus.pkexec.pardus-update.policy - Chemins :
/etc/pardus/pardus-update.conf - Chemins :
/tmp/pwn.list - Chemins :
/etc/apt/sources.list.d/ - Chemins :
/usr/share/pardus/pardus-update/src/SystemSettingsWrite.py - Chemins :
/usr/share/pardus/pardus-update/src/AutoAptUpgrade.py - Chemins :
/bin/bash
🟡 Indice de vérification factuelle : 40/100 (moyenne)
- ⬜ thecyberexpress.com — source non référencée (0pts)
- ✅ 3767 chars — texte complet (15pts)
- ✅ 11 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://thecyberexpress.com/cve-2026-5140-pardus-linux-root-access-flaw/