CVE-2026-41501
KrytyczneStreszczenie
W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na dodanie złośliwych ciągów wersji do polecenia exec bez walidacji. Problem ten został naprawiony w wersji 3.3.8.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego usunięcia plików na systemie ofiary, co stwarza poważne zagrożenie dla integralności danych.
Rekomendacja
Zaleca się aktualizację klienta electerm do wersji 3.3.8 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. Prior to version 3.3.8, a command injection vulnerability exists in github.com/elcterm/electerm/npm/install.js:130. The runLinux() function appends attacker-controlled remote version strings directly into an exec("rm -rf ...") command without validation. This issue has been patched in version 3.3.8.

