Katalog CVE

CVE-2026-54056

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W wersjach 0.47.0 i 0.47.1 terminala Kitty, funkcja `kitten dnd` może pozwolić złośliwemu źródłu drag-and-drop na nadpisanie lub skrócenie dowolnych plików, które mogą być zapisywane przez lokalnego użytkownika kitty. Problem wynika z braku de-duplikacji nazw plików w systemach plików rozróżniających wielkość liter.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do nadpisania ważnych plików na systemie ofiary, co może prowadzić do utraty danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji oprogramowania.

Rekomendacja

Zaleca się aktualizację do wersji 0.47.2, która naprawia tę podatność. Dodatkowo, warto rozważyć ograniczenie możliwości korzystania z funkcji drag-and-drop w środowiskach o podwyższonym ryzyku.

Oryginalny opis (angielski, źródło NVD)

Kitty is a cross-platform GPU based terminal. In versions 0.47.0 and 0.47.1, `kitten dnd` can allow a malicious remote drag-and-drop source to overwrite or truncate arbitrary files writable by the local kitty user. Remote `text/uri-list` drops are staged in a temporary directory, but on case-sensitive filesystems duplicate remote basenames are not de-duplicated. An attacker can first create a staged symlink and then send a same-name regular-file entry. The regular-file write uses `utils.CreateAt()` / `openat(O_RDWR|O_CREAT|O_TRUNC)` without `O_NOFOLLOW`, so it follows the attacker-created symlink and writes outside the staging directory before final overwrite confirmation runs. This appears related in class to the file-transfer symlink advisory, but it is a different bug: it affects `kitten dnd` remote drag-and-drop staging, uses different vulnerable code (`kittens/dnd/drop.go` and `tools/utils/file_at_fd.go`), and reproduces on commit `4aa4a5c0567a92553a8c20a88a4352da637fca5d`, after the file-transfer `O_NOFOLLOW` fix. Version 0.47.2 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS