Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi je kvůli chybě zabezpečení v oblasti řízení přístupu umožněno vytvořit uživatele se systémovými oprávněními a následně s využitím oprávnění správce domény nebo správce skupiny spustit libovolný kód s právy root [1].

Zranitelnost se nachází v produktu Serv-U ve verzích >=15.5 AND <15.5.4.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

• CVE-2025-40538 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-269: Improper Privilege Management at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 2. 2026.

Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je kvůli zranitelnosti typu type confusion umožněno spustit libovolný nativní kód jako root [2][3].

Zranitelnost se nachází v produktu Serv-U ve verzích >=15.5 AND <15.5.4.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

• CVE-2025-40539 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2025-40540 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-704: Incorrect Type Conversion or Cast at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 2. 2026.

Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je kvůli zranitelnosti typu IDOR (Insecure Direct Object Reference) umožněno spustit nativní kód jako root [4].

Zranitelnost se nachází v produktu Serv-U ve verzích >=15.5 AND <15.5.4.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

• CVE-2025-40541 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-704: Incorrect Type Conversion or Cast at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 2. 2026.