CVE-2026-41500
KrytyczneStreszczenie
W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na wprowadzenie złośliwego kodu do polecenia exec. Problem ten został naprawiony w wersji 3.3.8.
Ocena ryzyka
Podatność ta może prowadzić do wykonania nieautoryzowanych poleceń w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację electerm do wersji 3.3.8 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. Prior to version 3.3.8, a command injection vulnerability exists in github.com/elcterm/electerm/npm/install.js:150. The runMac() function appends attacker-controlled remote releaseInfo.name directly into an exec("open ...") command without validation. This issue has been patched in version 3.3.8.

