Katalog CVE

CVE-2026-42851

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

Kitty to wieloplatformowy terminal oparty na GPU. W wersjach przed 0.47.0, program mogący zapisywać bajty do terminala kitty może spowodować wykonanie dostarczonego przez atakującego kodu Python w działającym procesie kitty z pełnymi uprawnieniami użytkownika.

Ocena ryzyka

Brak jakiejkolwiek interakcji z użytkownikiem oraz brak wymagań dotyczących uprawnień do zdalnego sterowania stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym wykonanie dowolnego kodu na systemie ofiary.

Rekomendacja

Zaleca się aktualizację do wersji 0.47.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Kitty is a cross-platform GPU based terminal. In versions prior to 0.47.0, a program able to write bytes to a kitty terminal — a remote SSH peer, a downloaded file viewed with `cat`, a log line, an email body rendered in `less`, an issue body in a TUI, etc. — can cause kitty to execute attacker-supplied Python inside the running kitty process, with the user's full privileges. There is no approval prompt, no remote-control permission requirement, no shell-integration interaction, no clipboard touch, and no editor interaction. Version 0.47.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS