Katalog CVE

CVE-2026-41500

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na wprowadzenie złośliwego kodu do polecenia exec. Problem ten został naprawiony w wersji 3.3.8.

Ocena ryzyka

Podatność ta może prowadzić do wykonania nieautoryzowanych poleceń w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację electerm do wersji 3.3.8 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. Prior to version 3.3.8, a command injection vulnerability exists in github.com/elcterm/electerm/npm/install.js:150. The runMac() function appends attacker-controlled remote releaseInfo.name directly into an exec("open ...") command without validation. This issue has been patched in version 3.3.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS