Для выполнения привилегированных действий в smb4k используются KAuth-обработчики, запускаемые с правами root. Уязвимости присутствуют в обработчике Smb4KMountHelper и вызваны тем, что функции для монтирования (CVE-2025-66003) и отмонтирования (CVE-2025-66002) сетевой файловой системы должным образом не фильтровали опции, передаваемые командам mount.cifs и unmount.cifs, что позволяло непривилегированному пользователю передать данным командам любые опции через параметр mh_options.
Например, при помощи опций «filemode=04777,uid=0» всем файлам в примонтированном разделе будет выставлен флаг suid root. Пользователь может запустить SMB-сервер и примонтировать с него собственный раздел с необходимыми исполняемыми файлами, которые при выставлении опций «filemode=04777,uid=0» будут выполнятся с правами root.
В обработчике Smb4KMountHelper также должным образом не проверялись целевые каталоги, что, например, позволяло примонтировать свой SMB-раздел вместо каталога /bin и подставить в него модифицированную версию /bin/bash. Кроме того, через параметр mh_krb5ticket можно изменить путь к файлу с учётными данными Kerberos и добиться вывода содержимого любого файла, например, /etc/shadow, в stderr или публично доступный лог.
Уязвимость в функции Smb4KMountHelper::unmount() может использоваться для вызова отказа в обслуживании через отмонтирование системных разделов, манипулируя содержимым параметра mh_mountpoint. Интересно, что в коде была проверка на тип раздела, которая пропускала только разделы cifs, smbfs и smb3, но в if-блоке для вывода ошибки был пропущен оператор «return» и выполнение не прерывалось.
Источник: http://www.opennet.ru/opennews/art.shtml?num=64422