Vulnerabilities ›

CVE-2013-2094

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Linux Kernel perf_swevent Privilege Escalation Vulnerability (CVE-2013-2094)

                    Published: Sep 15, 2022                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Linux Kernel Privilege Escalation Vulnerability — Linux kernel fails to check all 64 bits of attr.config passed by user space, resulting to out-of-bounds access of the perf_swevent_enabled array in sw_perf_event_destroy(). Explotation allows for privilege escalation.

🤖 AI Executive Summary

A critical privilege escalation vulnerability exists in the Linux kernel's performance event subsystem. The kernel fails to validate all 64 bits of the attr.config parameter from user space, leading to out-of-bounds array access in sw_perf_event_destroy(). Active exploitation allows unprivileged users to gain root privileges on affected systems.

📄 Description (Arabic)

تؤثر هذه الثغرة الأمنية الحرجة على النظام الفرعي لأحداث الأداء في نواة لينكس، حيث لا يتم التحقق بشكل صحيح من جميع البتات الـ64 للمعامل attr.config المُمرر من مساحة المستخدم. يؤدي هذا الإهمال في التحقق إلى وصول خارج حدود المصفوفة perf_swevent_enabled في الدالة sw_perf_event_destroy()، مما يسمح للمهاجمين المحليين باستغلال هذا العيب لتنفيذ تعليمات برمجية عشوائية بصلاحيات النظام. تُعتبر هذه الثغرة خطيرة بشكل خاص لأن استغلالها موثق ومتاح علنياً، مما يجعل الأنظمة غير المُحدّثة عرضة للاختراق الفوري من قبل مستخدمين محليين ذوي صلاحيات محدودة للحصول على التحكم الكامل بالنظام.

🤖 ملخص تنفيذي (AI)

توجد ثغرة حرجة لتصعيد الصلاحيات في نظام أحداث الأداء بنواة لينكس. تفشل النواة في التحقق من جميع البتات الـ64 لمعامل attr.config من مساحة المستخدم، مما يؤدي إلى وصول خارج الحدود للمصفوفة في sw_perf_event_destroy(). يسمح الاستغلال النشط للمستخدمين غير المصرح لهم بالحصول على صلاحيات الجذر على الأنظمة المتأثرة.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 09:51

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations running legacy Linux systems or embedded devices with unpatched kernels face immediate risk of complete system compromise. This is particularly critical for SAMA-regulated financial institutions and NCA-supervised entities operating critical infrastructure, as local attackers or malicious insiders could exploit this to gain unauthorized root access, bypass security controls, exfiltrate sensitive data, or disrupt operations.

🏢 Affected Saudi Sectors

القطاع المالي والمصرفي الجهات الحكومية قطاع الاتصالات وتقنية المعلومات البنية التحتية الحيوية قطاع الطاقة والمرافق قطاع الرعاية الصحية قطاع التعليم مراكز البيانات ومقدمي الخدمات السحابية

🎯 MITRE ATT&CK Techniques

T1068 T1548.001 T1078.003 T1611

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately identify and inventory all Linux systems across the organization, prioritizing internet-facing servers, critical infrastructure systems, and multi-user environments for urgent patching to kernel versions that address CVE-2013-2094.

2. Apply vendor-provided security patches or upgrade to Linux kernel versions 3.8.9, 3.4.47, 3.2.44, 3.0.80, or later stable releases that contain the fix for this vulnerability, following change management procedures with appropriate testing in non-production environments first.

3. Implement compensating controls including restricting local user access, disabling unprivileged access to performance monitoring subsystems via sysctl (kernel.perf_event_paranoid=2 or higher), deploying kernel runtime protection mechanisms (SELinux/AppArmor), and establishing continuous monitoring for privilege escalation attempts through security information and event management (SIEM) systems.

🔧 خطوات المعالجة (العربية)

1. تحديد وجرد جميع أنظمة لينكس عبر المؤسسة فوراً، مع إعطاء الأولوية للخوادم المتصلة بالإنترنت وأنظمة البنية التحتية الحيوية والبيئات متعددة المستخدمين لتطبيق التحديثات العاجلة لإصدارات النواة التي تعالج CVE-2013-2094.

2. تطبيق التحديثات الأمنية المقدمة من الموردين أو الترقية إلى إصدارات نواة لينكس 3.8.9 أو 3.4.47 أو 3.2.44 أو 3.0.80 أو الإصدارات المستقرة اللاحقة التي تحتوي على الإصلاح لهذه الثغرة، مع اتباع إجراءات إدارة التغيير والاختبار المناسب في بيئات غير إنتاجية أولاً.

3. تنفيذ ضوابط تعويضية تشمل تقييد وصول المستخدمين المحليين، وتعطيل الوصول غير المصرح به لأنظمة مراقبة الأداء الفرعية عبر sysctl (kernel.perf_event_paranoid=2 أو أعلى)، ونشر آليات حماية وقت تشغيل النواة (SELinux/AppArmor)، وإنشاء مراقبة مستمرة لمحاولات تصعيد الصلاحيات من خلال أنظمة إدارة معلومات وأحداث الأمن (SIEM).

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-1-3 (Patch Management) ECC-2-1 (Access Control) ECC-3-1 (System Hardening) ECC-5-1 (Security Monitoring)

🔵 SAMA CSF

CCC-1.1.1 (Asset Management) CCC-2.1.1 (Vulnerability Assessment) CCC-2.1.2 (Patch Management) CCC-3.1.1 (Access Control) CCC-6.1.1 (Security Monitoring)

🟡 ISO 27001:2022

A.12.6.1 (Management of Technical Vulnerabilities) A.9.2.3 (Management of Privileged Access Rights) A.12.2.1 (Controls Against Malware) A.16.1.3 (Reporting Information Security Weaknesses)

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Linux:Kernel

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS58.45%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2022-10-06

Published 2022-09-15

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2013-2094

Introduce Yourself

Sign In Required