Vulnerabilities ›

CVE-2014-3153

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Linux Kernel Futex Privilege Escalation Vulnerability (CVE-2014-3153)

                    Published: May 25, 2022                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Linux Kernel Privilege Escalation Vulnerability — The futex_requeue function in kernel/futex.c in Linux kernel does not ensure that calls have two different futex addresses, which allows local users to gain privileges.

🤖 AI Executive Summary

A critical privilege escalation vulnerability exists in the Linux kernel's futex_requeue function that allows local attackers to gain root privileges. The flaw stems from improper validation of futex addresses, enabling unauthorized elevation of privileges. Active exploits exist in the wild, posing significant risk to unpatched Linux systems.

📄 Description (Arabic)

تؤثر هذه الثغرة على دالة futex_requeue في ملف kernel/futex.c بنواة لينكس، حيث لا تتحقق الدالة من أن المكالمات تستخدم عنوانين مختلفين لـ futex. يستغل المهاجمون المحليون هذا الخلل للحصول على صلاحيات الجذر الكاملة على النظام. تعتبر هذه الثغرة خطيرة جداً نظراً لوجود استغلالات عامة متاحة ودرجة CVSS البالغة 9.0. تؤثر الثغرة على إصدارات متعددة من نواة لينكس المستخدمة في الخوادم والأنظمة الحرجة.

🤖 ملخص تنفيذي (AI)

توجد ثغرة حرجة لرفع الصلاحيات في دالة futex_requeue بنواة لينكس تسمح للمهاجمين المحليين بالحصول على صلاحيات الجذر. ينشأ العيب من التحقق غير الصحيح من عناوين futex، مما يتيح رفع الصلاحيات بشكل غير مصرح به. توجد استغلالات نشطة في البرية، مما يشكل خطراً كبيراً على أنظمة لينكس غير المحدثة.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 10:20

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations running vulnerable Linux kernel versions face critical risk of complete system compromise through local privilege escalation. This affects government entities, financial institutions, and critical infrastructure operators using Linux-based systems, potentially leading to unauthorized access to sensitive data, system manipulation, and compliance violations under NCA ECC and SAMA CSF frameworks.

🏢 Affected Saudi Sectors

القطاع الحكومي القطاع المالي والمصرفي البنية التحتية الحرجة قطاع الاتصالات وتقنية المعلومات قطاع الطاقة والمرافق قطاع الصحة قطاع التعليم

🎯 MITRE ATT&CK Techniques

T1068 T1548.001 T1078 T1611

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately identify and inventory all Linux systems running vulnerable kernel versions across the organization and prioritize patching based on system criticality and exposure.

2. Apply vendor-provided security patches and upgrade to patched kernel versions (3.14.5, 3.13.11, 3.12.21, 3.10.42, 3.4.91, 3.2.59 or later depending on kernel branch) following proper change management procedures.

3. Implement enhanced monitoring for privilege escalation attempts, restrict local user access to critical systems, and deploy application whitelisting and mandatory access controls (SELinux/AppArmor) as compensating controls until patching is complete.

🔧 خطوات المعالجة (العربية)

1. تحديد وجرد جميع أنظمة لينكس التي تشغل إصدارات النواة المعرضة للخطر فوراً عبر المؤسسة وتحديد أولويات التصحيح بناءً على أهمية النظام ومستوى التعرض.

2. تطبيق تصحيحات الأمان المقدمة من الموردين والترقية إلى إصدارات النواة المصححة (3.14.5، 3.13.11، 3.12.21، 3.10.42، 3.4.91، 3.2.59 أو أحدث حسب فرع النواة) باتباع إجراءات إدارة التغيير المناسبة.

3. تنفيذ مراقبة معززة لمحاولات رفع الصلاحيات، وتقييد وصول المستخدمين المحليين للأنظمة الحرجة، ونشر قوائم التطبيقات المسموحة وضوابط الوصول الإلزامية (SELinux/AppArmor) كضوابط تعويضية حتى اكتمال التصحيح.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2: Vulnerability Management ECC-1-3: Patch Management ECC-3-1: System Hardening ECC-5-1: Security Monitoring

🔵 SAMA CSF

CCC-1.1.1: Asset Management CCC-2.1.1: Vulnerability Assessment CCC-2.1.2: Patch Management CCC-4.1.1: Security Monitoring and Analysis

🟡 ISO 27001:2022

A.12.6.1: Management of Technical Vulnerabilities A.12.2.1: Controls Against Malware A.14.2.5: Secure System Engineering Principles

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Linux:Kernel

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS72.19%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2022-06-15

Published 2022-05-25

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2014-3153

Introduce Yourself

Sign In Required