Katalog CVE

CVE-2026-44466

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Zed to edytor kodu, w wersjach przed 0.229.0 system uprawnień narzędzia terminala Zed można obejść za pomocą rozszerzenia arytmetycznego bash $((...)), co pozwala na wykonanie dowolnych poleceń zagnieżdżonych w dozwolonym poleceniu, takim jak echo. Ta podatność została naprawiona w wersji 0.229.0.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie nieautoryzowanych poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu. Potencjalni atakujący mogą wykorzystać tę lukę do przejęcia kontroli nad środowiskiem terminala.

Rekomendacja

Zaleca się aktualizację Zed do wersji 0.229.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do narzędzi terminalowych w celu zwiększenia bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Zed is a code editor. Prior to 0.229.0, Zed's terminal tool permission system can be bypassed via bash arithmetic expansion $((...)), allowing execution of arbitrary commands nested inside an allowlisted command like echo. This vulnerability is fixed in 0.229.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS