Below Privilege Escalation Vulnerability

漏洞信息

漏洞名称： Below Privilege Escalation Vulnerability

漏洞编号：

• CVE： CVE-2025-27591

漏洞类型： 权限提升

漏洞等级： 高危

漏洞描述： 受影响产品: Below 是一个由 Facebook 孵化的 Linux 监控工具，广泛用于系统性能监控和日志记录。它通常部署在需要实时监控系统性能的服务器上，特别是在企业级环境中。由于其功能强大，Below 在系统管理员中较为流行。

漏洞解释: 此漏洞属于权限提升类型，具体原因是 Below 在创建目录和日志文件时，以 root 权限创建了全局可写的 /var/log/below/error_root.log 文件。这一设计缺陷允许低权限用户通过符号链接攻击，将日志文件重定向到敏感文件（如 /etc/passwd），从而注入恶意内容。攻击者可以利用此漏洞在系统中添加具有 root 权限的恶意用户，进而完全控制系统。

影响分析: 此漏洞的安全风险极高，因为它允许任何本地用户无需认证即可提升至 root 权限。攻击者可以利用此漏洞自动执行攻击脚本，导致系统完全被控制。由于 Below 通常以 root 权限运行，且漏洞利用不需要复杂的交互，因此该漏洞的利用门槛较低，危害性极大。企业应立即升级 Below 至 v0.9.0 或更高版本以防范此风险。

产品厂商： facebookincubator

产品名称： below

影响版本： version < 0.9.0

来源： https://github.com/obamalaolu/CVE-2025-27591

类型： CVE-2025:github search

仓库文件

• CVE-2025-27591.sh
• LICENSE
• README.md

来源概述

CVE-2025-27591 - Privilege Escalation via below

This repository contains an exploit for CVE-2025-27591, a privilege escalation vulnerability in the Linux monitoring tool Below.

🛠️ Vulnerability Details

• CVE: CVE-2025-27591
• CVSS Score: 7.8 (High)
• Affected Tool: below (prior to v0.9.0)
• Vulnerability: Below creates world-writable directories and log files (/var/log/below/error_root.log) as root, allowing symlink attacks by unprivileged users.
• Discovered: January 2025
• Published: March 12, 2025
• Source: SecurityOnline, OpenWall

💥 Exploit Summary

This exploit allows a local user to escalate privileges to root by:

1. Symlinking /var/log/below/error_root.log to /etc/passwd
2. Triggering below to write to the symlink
3. Injecting a malicious root user into /etc/passwd

⚙️ Requirements

• below is available via sudo, e.g.:

sudo -l
(ALL : ALL) NOPASSWD: /usr/bin/below *