Les accès Telnet sur les systèmes Linux sont une nouvelle fois menacés par une nouvelle faille de sécurité critique : CVE-2026-32746. Cette vulnérabilité a été découverte dans GNU InetUtils, au niveau de l’implémentation du Telnet. Quels sont les risques ? Comment se protéger ? Voici ce que l’on sait.

Ce que l’on sait sur la CVE-2026-32746

Le protocole Telnet, bien que très largement remplacé par SSH, reste encore présent dans certains environnements. Sur Linux, il est porté par le démon GNU InetUtils telnetd. Déjà affecté fin janvier 2026 par la CVE-2026-24061, une vulnérabilité permettant d’obtenir un accès root en une seule commande, il est de nouveau affecté par une faille de sécurité critique.

En effet, la société israélienne Dream a fait la découverte d’une nouvelle faille associée à un score CVSS v3 de 9.8 sur 10 : CVE-2026-32746. Découverte le 11 mars 2026, elle affecte toutes les implémentations du service Telnet jusqu’à la version 2.7 (comprise).

Ce problème de sécurité de type “out-of-bounds write” (écriture hors limite) se situe au sein du gestionnaire de sous-options LINEMODE SLC (Set Local Characters). Il se produit lors de la négociation des options, avant même l’affichage de l’invite de connexion.

En exploitant cette vulnérabilité à distance et sans authentification préalable, un attaquant peut exécuter du code à distance en tant que root sur la machine vulnérable.

“Une simple connexion réseau au port 23 suffit pour déclencher la vulnérabilité. Aucun identifiant, aucune interaction de l’utilisateur et aucune position réseau spéciale ne sont requis.”, précisent les chercheurs. “En pratique, cela peut mener à une exécution de code à distance. Étant donné que telnetd s’exécute généralement en tant que root (par exemple, sous inetd ou xinetd), un exploit réussi donnerait à l’attaquant le contrôle total du système.”

Comment protéger vos systèmes ?

Vous allez me dire : en n’utilisant pas Telnet. Oui, c’est exact, mais surtout veillez à ce qu’il ne soit pas activé. Mais, pour ceux qui ont besoin du Telnet, sachez que la faille CVE-2026-32746 n’est pas encore patchée. En effet, le correctif de sécurité est en cours de développement et ne sera pas implémenté avant le 1er avril 2026.

C’est un vrai problème. Même si la CVE-2026-32746 ne serait pas exploitée pour le moment, ce n’est pas le cas de sa grande sœur (CVE-2026-24061). La précédente vulnérabilité patchée il y a moins de 2 mois est considérée comme activement exploitée d’après l’agence CISA.

En attendant la publication de ce patch, voici quelques pistes à explorer pour se protéger :

• Désactiver le service Telnet
• Restreindre les privilèges (en exécutant telnetd sans les droits root, lorsque cela est possible).
• Bloquer le port 23 au niveau de vos firewalls périmétriques et celui de l’hôte, pour empêcher tout accès externe non désiré.
• Restreindre l’accès Telnet en le limitant à certaines adresses IP ou en passant par une connexion sécurisée (via un VPN, par exemple).

Source