製品・ソフトウェアに関する情報
Vulnerability Search
Uutilsのuutils coreutilsにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
Title Uutilsのuutils coreutilsにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
Summary

uutils coreutils の mkfifo に存在する脆弱性により、既存ファイルの権限が不正に変更される可能性があります。mkfifo はFIFOの作成に失敗するのが対象パスに既にファイルが存在する場合ですが、この際に当該パスでの操作を終了せず、その後の set_permissions 呼び出しを継続して実行します。その結果、既存のファイルの権限がデフォルトモード(通常は umask 後の 644)に変更され、SSH の秘密鍵などの機密ファイルが他のシステムユーザーに露出してしまう可能性があります。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 22, 2026, midnight
Registration Date April 27, 2026, 11:18 a.m.
Last Update April 27, 2026, 11:18 a.m.
CVSS3.0 : 重要
Score 7.1
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Affected System
Uutils
uutils coreutils 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 11:18 a.m.
NVD Vulnerability Information
CVE-2026-35341
Summary

A vulnerability in uutils coreutils mkfifo allows for the unauthorized modification of permissions on existing files. When mkfifo fails to create a FIFO because a file already exists at the target path, it fails to terminate the operation for that path and continues to execute a follow-up set_permissions call. This results in the existing file's permissions being changed to the default mode (often 644 after umask), potentially exposing sensitive files such as SSH private keys to other users on the system.

Publication Date April 23, 2026, 2:16 a.m.
Registration Date April 25, 2026, 4:05 a.m.
Last Update April 25, 2026, 12:16 a.m.
Related information, measures and tools
Common Vulnerabilities List