CVE-2026-42851
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Kitty to wieloplatformowy terminal oparty na GPU. W wersjach przed 0.47.0, program mogący zapisywać bajty do terminala kitty może spowodować wykonanie dostarczonego przez atakującego kodu Python w działającym procesie kitty z pełnymi uprawnieniami użytkownika.
Ocena ryzyka
Brak jakiejkolwiek interakcji z użytkownikiem oraz brak wymagań dotyczących uprawnień do zdalnego sterowania stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym wykonanie dowolnego kodu na systemie ofiary.
Rekomendacja
Zaleca się aktualizację do wersji 0.47.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Kitty is a cross-platform GPU based terminal. In versions prior to 0.47.0, a program able to write bytes to a kitty terminal — a remote SSH peer, a downloaded file viewed with `cat`, a log line, an email body rendered in `less`, an issue body in a TUI, etc. — can cause kitty to execute attacker-supplied Python inside the running kitty process, with the user's full privileges. There is no approval prompt, no remote-control permission requirement, no shell-integration interaction, no clipboard touch, and no editor interaction. Version 0.47.0 fixes the issue.

