Una vulnerabilidad crítica en el demonio telnet de GNU InetUtils, identificada como CVE-2026-32746, podría permitir a un atacante remoto ejecutar código arbitrario con privilegios de root sin necesidad de autenticación. Según The Hacker News, el problema es una escritura fuera de límites en el manejador de la subopción LINEMODE Set Local Characters, o SLC, que termina provocando un desbordamiento de búfer durante el handshake del protocolo Telnet.
El fallo fue descubierto y reportado por la empresa israelí de ciberseguridad Dream el 11 de marzo de 2026. La compañía afirma que la vulnerabilidad afecta a todas las implementaciones de telnetd hasta la versión 2.7 y que puede activarse antes de que aparezca cualquier solicitud de inicio de sesión. Esto significa que un atacante remoto puede conectarse directamente al puerto 23 y enviar mensajes especialmente manipulados durante la negociación del protocolo sin necesitar credenciales válidas, interacción del usuario ni una posición privilegiada en la red.
Dado que telnetd suele ejecutarse con privilegios de root en despliegues con inetd o xinetd, una explotación exitosa puede derivar en un compromiso total del sistema. Los investigadores advierten de que, una vez obtenido acceso root, los atacantes podrían instalar puertas traseras persistentes, extraer información y usar los equipos comprometidos como puntos de pivote para movimiento lateral dentro de redes más amplias.
Dream explica que el fallo puede explotarse enviando una subopción SLC manipulada con un gran número de tripletas, corrompiendo memoria y permitiendo escrituras arbitrarias que pueden transformarse en ejecución remota de código. El informe añade que solo hace falta una única conexión al puerto 23 para alcanzar el flujo vulnerable.
En el momento de la divulgación todavía no había un parche publicado. Dream señaló que se espera una corrección no más tarde del 1 de abril de 2026. Hasta entonces, la recomendación es desactivar Telnet si no es estrictamente necesario, evitar que telnetd se ejecute como root cuando sea posible, bloquear o restringir al máximo el acceso al puerto 23 y aislar los sistemas que aún dependan de este servicio heredado.
La divulgación llega después de otro fallo crítico en GNU InetUtils telnetd, CVE-2026-24061, revelado anteriormente en 2026 y posteriormente incluido por CISA entre las vulnerabilidades explotadas activamente. En conjunto, ambos casos refuerzan el riesgo que siguen representando los servicios de acceso remoto heredados expuestos en infraestructuras modernas.