Katalog CVE

CVE-2026-41501

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na dodanie złośliwych ciągów wersji do polecenia exec bez walidacji. Problem ten został naprawiony w wersji 3.3.8.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego usunięcia plików na systemie ofiary, co stwarza poważne zagrożenie dla integralności danych.

Rekomendacja

Zaleca się aktualizację klienta electerm do wersji 3.3.8 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. Prior to version 3.3.8, a command injection vulnerability exists in github.com/elcterm/electerm/npm/install.js:130. The runLinux() function appends attacker-controlled remote version strings directly into an exec("rm -rf ...") command without validation. This issue has been patched in version 3.3.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS