Skip to content
hacker_posts

Samba : RCE non authentifiée CVE-2026-4408 (CVSS 10), l'ANSSI publie l'AVI-0651

Le CERT-FR a relayé le 27 mai les six failles corrigées par Samba 4.22.10, 4.23.8 et 4.24.3. Deux RCE critiques, dont une non authentifiée sur SAMR.

Publié le 4 min de lecture
cvesambaanssialerterce

Le CERT-FR a publié le 27 mai 2026 l'avis CERTFR-2026-AVI-0651, relayant la sortie des versions de sécurité Samba 4.22.10, 4.23.8 et 4.24.3 parues la veille. Le lot corrige six CVE, dont CVE-2026-4408 — une exécution de code à distance non authentifiée sur le service SAMR — notée CVSS 10.0 par l'équipe Samba.

L'avis upstream est sur samba.org/samba/security. Détail NVD : CVE-2026-4408.

Ce que fait CVE-2026-4408

Samba expose deux services DCE/RPC sur SAMR, SamValidatePasswordChange et SamValidatePasswordReset, transportés sur NCACN_IP_TCP. Ces deux services transmettent le nom d'utilisateur et le mot de passe fournis par le client au binaire configuré dans la directive check password script de smb.conf, lorsque celui-ci utilise la substitution %u. Aucun échappement n'est appliqué avant l'invocation : un attaquant non authentifié peut donc injecter des métacaractères shell et obtenir une exécution arbitraire sous l'identité du processus Samba.

Important : la faille n'est exploitable que si samba-dcerpcd tourne en service système. Dans la configuration par défaut, smbd lance samba-dcerpcd à la demande, et le code vulnérable n'est pas accessible. Le mode service système ne se produit que si rpc start on demand helpers = no est positionné — un choix d'opérateur, pas un défaut de distribution.

CVE corrigées dans le même lot

Cinq autres failles font partie de la livraison. D'après l'avis CERT-FR et les annonces Samba :

  • CVE-2026-4480 — RCE dans le sous-système d'impression. Samba ne nettoie pas les métacaractères shell présents dans la description de tâche d'impression contrôlée par le client (substitution %J) avant injection dans la print command. Note CVSS 10.0 côté Samba ; rapporté à 8.5 par certains agrégateurs. Par défaut les serveurs d'impression Samba acceptent l'utilisateur guest.
  • CVE-2026-1933 — contournement des contrôles d'accès sur les opérations reparse point. Un attaquant peut modifier les attributs étendus de reparse point de fichiers censés être en lecture seule.
  • CVE-2026-2340 — le module vfs_worm (Write-Once Read-Many) n'empêche pas la réécriture par renommage. La protection d'immuabilité côté SMB peut être contournée en renommant un nouveau fichier par-dessus le fichier protégé.
  • CVE-2026-3012 — auto-enrollment GPO installant un certificat CA via HTTP, sans vérification d'intégrité.
  • CVE-2026-3238 — déni de service contre le serveur WINS d'un contrôleur de domaine AD.

Versions affectées et correctifs

D'après l'avis CERT-FR :

  • Samba 4.22.x antérieures à 4.22.10.
  • Samba 4.23.x antérieures à 4.23.8.
  • Samba 4.24.x antérieures à 4.24.3.

Les correctifs sont les trois versions de sécurité publiées le 26 mai. Aucun rétroportage n'est annoncé pour les branches non maintenues — un parc encore en 4.21 ou plus ancien doit migrer.

Statut de l'exploitation

Aucune exploitation dans la nature rapportée par Samba ou l'ANSSI au moment de la publication. Pas de PoC public à cette heure. La fenêtre d'exposition reste néanmoins large : Samba est un composant transparent de nombreux NAS grand public et professionnels (Synology, QNAP, TrueNAS), de partages SMB en environnement Linux, et de contrôleurs de domaine classiques. La mise à jour dépend du calendrier de chaque éditeur OEM.

Que faire

  1. Patcher vers 4.22.10, 4.23.8 ou 4.24.3 dès que possible — en priorité sur tout serveur SMB ou contrôleur de domaine accessible depuis un réseau non maîtrisé.
  2. Pour CVE-2026-4408 : si le patch n'est pas immédiat, vérifier smb.conf. Si rpc start on demand helpers n'est pas explicitement à no, la configuration par défaut protège. Pour les configurations qui le mettent à no, basculer temporairement sur le mode "à la demande" supprime la surface d'attaque.
  3. Pour CVE-2026-4480 : contournement officiel — entourer la substitution %J de guillemets simples dans la print command ('%J' au lieu de %J). Limite drastiquement la fenêtre d'injection.
  4. Inventorier les appliances dépendant de Samba : NAS, contrôleurs de domaine non-AD, partages SMB Linux. Les NAS grand public sont historiquement les plus lents à recevoir les patches Samba ; vérifier la disponibilité du firmware côté constructeur.
  5. Restreindre l'exposition réseau des ports SMB (445/tcp) et SAMR. Aucun service SMB n'a vocation à être accessible depuis Internet ; un audit de surface externe (Shodan, Censys) sur port:445 rappellera utilement les oubliés.

Contexte

Les failles RCE non authentifiées sur le sous-système RPC de Samba sont rares mais récurrentes — la dernière en date côté CVSS 10.0 est CVE-2017-7494 ("SambaCry"), exploitée en masse dans les semaines suivant sa divulgation. Le cas présent est plus contraint (la vulnérabilité dépend d'un paramétrage non par défaut), ce qui devrait limiter le volume d'attaques opportunistes — sauf chez les hébergeurs qui industrialisent la même configuration sur des centaines d'instances.

Côté CVE-2026-4480, la surface est inverse : la print command est courante, et l'utilisateur guest est autorisé par défaut sur les serveurs d'impression Samba. C'est probablement la CVE à patcher en premier sur un parc d'impression.

L'avis complet est sur cert.ssi.gouv.fr. Les annonces upstream sont accessibles depuis la page sécurité Samba.

Articles liés