Katalog CVE

CVE-2026-42850

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W wersjach przed 0.47.0 terminala Kitty istnieje możliwość wstrzykiwania poleceń do subshella poprzez błąd Kitty. Specjalny kod ucieczki powoduje, że Kitty zwraca błąd, który nie jest odpowiednio zabezpieczony i jest poprawnie wyświetlany w terminalu, co pozwala na jego wykonanie przez używaną powłokę.

Ocena ryzyka

Atakujący może przejąć kontrolę nad komputerem ofiary, wykorzystując specjalny kod ucieczki Kitty do uruchomienia polecenia w używanej powłoce. Wymaga to, aby ofiara połączyła się z atakującym za pomocą netcat lub podobnego programu.

Rekomendacja

Zaleca się aktualizację terminala Kitty do wersji 0.47.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy unikać korzystania z nieznanych połączeń sieciowych, które mogą prowadzić do tego typu ataków.

Oryginalny opis (angielski, źródło NVD)

Kitty is a cross-platform GPU based terminal. In versions prior to 0.47.0, it is possible to inject commands within the subshell through kitty error. A special escape code will make kitty return an error, this error is not escaped and will be correctly echoed back to the terminal with CRLF, as such it will be run by the shell in use. To exploit this bug, the victim must use a netcat or a similar program to connect to the attacker, or else listening for someone to connect. Once this condition is set, an attacker could pwn the computer of the victim using a special kitty's escape code that will run a command in the shell in use. Version 04.7.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS