Sebuah kerentanan kritis berhasil diungkap oleh peneliti keamanan siber yang berdampak pada layanan gnu inetutils telnetd. celah ini memungkinkan penyerang untuk mengeksekusi kode secara jarak jauh tanpa memerlukan proses autentikasi.
kerentanan tersebut telah didaftarkan dengan kode cve-2026-32746 dan memiliki skor cvss 9.8, yang menandakan tingkat keparahan sangat tinggi. bug ini dikategorikan sebagai out-of-bounds write pada komponen linemode set local characters (slc) yang menyebabkan terjadinya buffer overflow.
celah keamanan ini ditemukan oleh perusahaan keamanan siber :contentReference[oaicite:0]{index=0} pada 11 maret 2026. berdasarkan laporan yang dirilis, seluruh versi gnu inetutils telnetd hingga versi 2.7 terdampak oleh kerentanan ini.
eksploitasi kerentanan ini tergolong sederhana namun berbahaya. penyerang dapat memanfaatkan celah hanya dengan melakukan koneksi ke port 23, tanpa memerlukan kredensial maupun interaksi dari pengguna.
eksploitasi dilakukan dengan mengirimkan pesan khusus saat proses handshake awal, bahkan sebelum prompt login ditampilkan.
dalam mekanisme protokol telnet, terdapat proses negosiasi opsi yang terjadi saat koneksi pertama kali dibangun. komponen slc handler bertugas untuk memproses bagian ini, namun kelemahan pada implementasinya memungkinkan penyerang mengirimkan payload berbahaya.
payload tersebut dapat menyebabkan korupsi memori yang kemudian dimanfaatkan untuk melakukan arbitrary write, yang pada akhirnya membuka peluang terjadinya remote code execution.
koneksi ke port 23 → kirim crafted slc suboption → buffer overflow → remote code execution
dampak dari eksploitasi ini sangat signifikan, terutama karena layanan telnetd umumnya berjalan dengan hak akses root. jika berhasil dieksploitasi, penyerang dapat memperoleh kendali penuh atas sistem target.
akses tersebut dapat dimanfaatkan untuk berbagai aktivitas lanjutan, seperti penanaman backdoor, pencurian data, hingga pergerakan lateral ke sistem lain dalam jaringan.
peneliti keamanan dari dream, adiel sol, menjelaskan bahwa hanya diperlukan satu koneksi jaringan untuk memicu kerentanan ini, tanpa perlu autentikasi maupun kondisi khusus lainnya.
hingga saat ini, perbaikan resmi untuk celah ini dijadwalkan akan dirilis paling lambat pada 1 april 2026.
sebagai langkah mitigasi sementara, administrator sistem disarankan untuk menonaktifkan layanan telnet jika tidak digunakan. selain itu, penggunaan hak akses non-root untuk telnetd, pemblokiran port 23 pada firewall, serta pembatasan akses hanya ke jaringan internal juga dapat mengurangi risiko eksploitasi.
kerentanan ini menambah daftar panjang masalah keamanan pada layanan telnet yang telah lama dianggap tidak aman untuk digunakan di lingkungan modern.
sebelumnya, celah lain dengan tingkat keparahan serupa juga ditemukan pada komponen yang sama dan dilaporkan telah dieksploitasi secara aktif di dunia nyata.
kondisi ini menjadi pengingat penting bagi organisasi untuk mulai meninggalkan penggunaan layanan legacy seperti telnet dan beralih ke protokol yang lebih aman.