CVE-2025-40362

Nome do Software Vulnerável e Versões Afetadas Kernel do Linux (versões afetadas não especificadas)

Descrição O Kernel do Linux contém uma falha na implementação do Ceph relacionada às capacidades de autenticação MultiFS MDS. Especificamente, a verificação das capacidades de autenticação não valida o nome do sistema de arquivos (fsname) juntamente com as capacidades associadas. Isso permite a aplicação de capacidades de autenticação de um sistema de arquivos para outro dentro de um cluster Ceph com múltiplos sistemas de arquivos. Isso pode levar a acesso não autorizado, permitindo que usuários realizem ações em sistemas de arquivos onde não deveriam ter permissões, como criar, excluir ou modificar arquivos. O problema ocorre ao montar sistemas de arquivos com permissões de usuário específicas, potencialmente permitindo que um usuário com acesso somente leitura em um sistema de arquivos obtenha acesso de leitura e escrita em outro. O problema é reproduzível usando a ferramenta de linha de comando ceph e envolve autorizar permissões para um usuário em múltiplos sistemas de arquivos e, em seguida, tentar realizar ações não autorizadas. A vulnerabilidade impacta a autenticação de usuário dentro de um cluster Ceph.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.