安全研究人员发现了两种新的本地权限提升漏洞，

　　第一个漏洞，编号 CVE-2025-6018，存在于 openSUSE Leap 15 和 SUSE Linux Enterprise 15 系统的可插拔认证模块配置中。该漏洞允许本地攻击者获得“allow_active”用户权限。第二个漏洞，编号 CVE-2025-6019，存在于 libblockdev 库中。该漏洞允许已经获得“allow_active”权限的用户通过 udisks 守护进程提升权限至 root。

　　昨日发现并报告这两个漏洞的 Qualys 威胁研究小组开发了概念验证，Qualys TRU 高级经理 Saeed Abbasi 警告说：“尽管名义上需要‘allow_active’权限，但 udisks 默认存在于几乎所有 Linux 发行版中，因此几乎所有系统都容易受到攻击。攻击者可以串联这些漏洞，以最小努力实现直接 root 访问。”

　　鉴于 udisks 的普遍存在和漏洞利用的简单性，该小组的建议非常明确：应将此视为一个关键且普遍的风险，立即应用安全补丁。