半夜被电话叫醒，发现核心服务器被提权控制，这大概是每一位Linux系统管理员最不愿面对的噩梦。Qualys近期披露的CVE-2025-6018和CVE-2025-6019漏洞链，再次将这种风险摆在了台面上。一个看似边缘的PAM配置错误，加上一个默认策略过于宽松的polkit规则，就能让攻击者通过SSH一路绿灯拿到root权限。这背后暴...

发现系统异常，怀疑被入侵时，那种感觉就像半夜听到家里有异响，你无法确定是风还是贼。对于CVE-2025-6018和CVE-2025-6019这对组合漏洞，情况更是如此。它们利用的是系统里合法且看似无害的组件——PAM认证框架和udisks存储服务。攻击者得手后，可能不会留下传统木马那样明显的痕迹，而是像拿到了万能钥匙的管家，悄无声息地...

2025年6月17日，Qualys研究团队披露了两个关键的Linux漏洞：CVE-2025-6018和CVE-2025-6019。该漏洞可以链式利用,允许攻击者从普通角色提升到root角色，影响多个Linux发行版本，包括Ubuntu、Debian、Fedora、openSUSE Leap 15和SUSE Enterprise 15。...