CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44461

HighCVSS 8.6
Published: Updated: Translated: NVD NIST

Summary

Zed to edytor kodu, który przed wersją 0.227.1 budował zdalne polecenia SSH/WSL jako ciąg polecenia powłoki, zaczynający się od exec env .... Klucze zmiennych środowiskowych są wstawiane bez cytowania lub walidacji, co pozwala na wykonanie dowolnych poleceń na zdalnym hoście.

Risk Assessment

Atakujący, który ma kontrolę nad kluczem zmiennej środowiskowej, może wykorzystać tę podatność do wykonania dowolnych poleceń w kontekście konta ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację Zed do wersji 0.227.1 lub nowszej, aby usunąć tę podatność oraz przegląd ustawień zmiennych środowiskowych w projektach.

Original NVD description (English source)

Zed is a code editor. Prior to 0.227.1, Zed builds SSH/WSL remote commands as a shell command string that starts with exec env ..., but environment variable keys are inserted without shell quoting or validation. If an attacker can control an environment variable key (for example via project terminal settings), shell expansions in the key (such as $(...)) are evaluated by the remote shell when a terminal is opened. This can lead to arbitrary command execution on the remote host under the victim user's account. This vulnerability is fixed in 0.227.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS