Kaspersky heeft tijdens een security audit een remote code execution (RCE) kwetsbaarheid ontdekt in de xrdp server, geregistreerd als CVE-2025-68670. Deze kwetsbaarheid werd gevonden in het kader van de ontwikkeling van Kaspersky USB Redirector, een module die de functionaliteit van de xrdp remote desktop server voor Linux uitbreidt. De module maakt het mogelijk om lokale USB-apparaten, zoals flash drives, tokens, smartcards en printers, te gebruiken binnen een remote desktop sessie, terwijl de verbinding beveiligd blijft.

De kwetsbaarheid betreft het proces waarbij clientgegevens via het Remote Desktop Protocol (RDP) worden uitgewisseld. Tijdens de Secure Settings Exchange, vlak voor authenticatie, stuurt de client beveiligde credentials naar de server in een Client Info PDU. Deze gegevens, waaronder gebruikersnaam, wachtwoord en domein, worden verpakt in een TS_INFO_PACKET structuur. De client gebruikt UTF-16 codering, terwijl de server deze data omzet naar UTF-8 voordat deze wordt opgeslagen. In de xrdp code is dit verwerkt in de xrdp_client_info structuur, waarbij de maximale lengte van strings wordt bepaald door de constante INFO_CLIENT_MAX_CB_LEN (512 bytes).

De kwetsbaarheid werd veroorzaakt doordat de buffer voor het omzetten van Unicode data niet correct werd afgehandeld, ondanks dat er een buffer overflow bescherming aanwezig is in de functie die de UTF-16 data omzet naar UTF-8. Hierdoor kon een aanvaller mogelijk code uitvoeren op afstand via speciaal vervaardigde clientgegevens. Kaspersky meldde de bevindingen direct aan de beheerders van het xrdp project, die snel reageerden door de kwetsbaarheid te verhelpen in versie 0.10.5. Daarnaast werd de patch teruggeplaatst naar eerdere versies 0.9.27 en 0.10.4.1, en is er een security bulletin uitgegeven.

Gebruikers van xrdp en aanverwante modules zoals Kaspersky USB Redirector wordt geadviseerd om de gepatchte versies te installeren om misbruik van deze kwetsbaarheid te voorkomen. Het incident onderstreept het belang van regelmatige security audits en het tijdig patchen van kwetsbaarheden in software die wordt ingezet voor remote toegang en beheer.