Login, espacio, guion, root: fallo en Telnet permite controlar un equipo sin contraseña
Una vulnerabilidad en GNU InetUtils afecta a todas las versiones desde la 1.9.3 hasta la 2.7 inclusive.
Parecería que telnet hace tiempo quedó en el pasado junto con los módems y las conexiones dial-up, pero precisamente él se ha convertido en la fuente de una vulnerabilidad grave. En GNU InetUtils se ha detectado un error que permite acceder de forma remota al sistema como root sin contraseña, simplemente enviando un valor especialmente formado de una variable de entorno.
El problema afecta al servidor telnetd que forma parte de GNU InetUtils. Este pasa al programa login el valor de la variable USER recibido del cliente sin ninguna comprobación. Esto puede aprovecharse si el cliente envía la cadena «-f root» como USER y se conecta con el parámetro telnet -a o --login. Como resultado, login interpreta esto como un indicador de la línea de comandos, omite el procedimiento estándar de autenticación y autoriza automáticamente al usuario como root.
La vulnerabilidad recibió el identificador CVE-2026-24061 y una puntuación CVSS: 9.8. Están en riesgo todas las versiones de GNU InetUtils desde la 1.9.3 hasta la 2.7 inclusive. El error lleva presente en el proyecto casi 11 años, desde mayo de 2015, pero se ha descubierto solo ahora. En esencia, es un ejemplo clásico de vulnerabilidad de la vieja escuela, donde una cadena peligrosa se transmite sin filtrado a una utilidad del sistema con privilegios de root.
Los autores del advisory recomiendan directamente no usar telnetd, limitar el acceso al puerto de telnet solo a clientes de confianza y aplicar la corrección o actualizar a la versión que corrige el problema lo antes posible. Una solución temporal puede ser desactivar por completo telnetd o usar una versión personalizada de login que no admita el parámetro «-f».
La vulnerabilidad fue descubierta por el investigador Carlos Cortés Álvarez; el parche fue preparado y refinado por los desarrolladores de GNU InetUtils en enero de 2026. Las correcciones incluyen la sanitización de todas las variables que se usan al formar el comando de llamada a login, para que este tipo de ataques sean imposibles en principio.
La historia resulta casi simbólica: un protocolo obsoleto, un servicio olvidado y un error lógico clásico llevaron a la compromisión total del sistema. Es otro recordatorio de que incluso las tecnologías «antiguas» pueden seguir siendo una amenaza real si todavía funcionan en producción.