L’equip de seguretat de Debian va obrir el 2026 l’1 de gener amb l’avís DSA-6092-1, que corregeix dues vulnerabilitats a smb4k. Smb4K és una utilitat d’escriptori força coneguda del projecte KDE: deixa que un usuari sense privilegis localitzi i munti recursos compartits Samba/CIFS còmodament des de l’entorn gràfic, sense haver de tocar /etc/fstab a mà ni executar mount com a root.
Què són les vulnerabilitats
L’avís agrupa dos identificadors: CVE-2025-66002 i CVE-2025-66003. Segons la descripció de Debian, les dues fallades tenen a veure amb el maneig incorrecte del muntatge sense privilegis de recursos Samba/CIFS i, juntes, poden acabar en dos tipus d’impacte:
- Denegació de servei local: un usuari local podria provocar la fallada o el bloqueig del component afectat.
- Escalada de privilegis local: el més greu, un usuari sense privilegis del sistema podria arribar a obtenir permisos superiors als que li corresponen.
El problema és al mecanisme que fa possible aquest muntatge “sense privilegis”. Per muntar un sistema de fitxers de xarxa cal capacitat de root, així que smb4k recorre a un component auxiliar amb privilegis elevats. Si aquest component no valida bé l’entrada que rep de l’usuari, un atacant local pot manipular l’operació de muntatge i executar accions amb privilegis que no hauria de tenir.
A qui afecta
Afecta sistemes Debian amb el paquet smb4k instal·lat, sobretot equips d’escriptori amb KDE Plasma on s’utilitza aquesta eina per arribar a carpetes compartides en xarxa. Val la pena deixar clar que no s’explota de forma remota: l’atacant ja ha de tenir accés local, un compte sense privilegis a la màquina. Tot i això, en entorns multiusuari o en equips compartits una escalada de privilegis local és un risc seriós, perquè converteix un accés limitat en control total del sistema.
Si el teu equip no té smb4k instal·lat, aquest avís concret no t’afecta.
Gravetat
Debian no publica en aquest avís una puntuació CVSS detallada, i l’incident es considera de gravetat mitjana: no hi ha constància d’explotació activa ni d’un vector remot, però la possibilitat d’escalar privilegis en local ja és raó suficient per actualitzar sense demora, sobretot en sistemes amb diversos usuaris.
Mitigació i pegat
La solució és directa: actualitzar el paquet smb4k. A la distribució estable (trixie, Debian 13) el problema s’ha corregit a la versió 4.0.0-1+deb13u1. En tens prou amb aplicar les actualitzacions de seguretat de sempre:
sudo apt update
sudo apt upgrade smb4kO bé actualitzar tot el sistema amb sudo apt full-upgrade. Com a costum general, deixa activades les actualitzacions de seguretat automàtiques de Debian per rebre com més aviat millor aquest tipus de correccions.
Tens més recursos sobre Debian i control d’accés a la nostra guia sobre Debian.
Font
- Avís de seguretat de Debian: DSA-6092-1 smb4k
- Detall de la vulnerabilitat: CVE-2025-66002 — NVD