CVE-2026-35376

Name of the Vulnerable Software and Affected Versions uutils coreutils (versões afetadas não especificadas)

Description Um problema de Time-of-Check to Time-of-Use (TOCTOU) existe no utilitário chcon durante operações recursivas. A implementação resolve alvos recursivos usando uma nova busca de caminho via fts accpath em vez de vincular a travessia e a aplicação de rótulos ao estado específico do diretório encontrado durante a travessia. Como essas operações não estão ancoradas a descritores de arquivo, um invasor local com acesso de gravação a uma árvore de diretórios pode usar corridas de link simbólico ou renomeação sensíveis ao tempo para redirecionar uma operação de rotulagem recursiva privilegiada para arquivos ou diretórios não pretendidos. Isso pode levar à modificação não autorizada de rótulos de segurança em objetos sensíveis do sistema, quebrando as expectativas de endurecimento para fluxos de trabalho de administração do SELinux.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.