CVE-2026-54056
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
W wersjach 0.47.0 i 0.47.1 terminala Kitty, funkcja `kitten dnd` może pozwolić złośliwemu źródłu drag-and-drop na nadpisanie lub skrócenie dowolnych plików, które mogą być zapisywane przez lokalnego użytkownika kitty. Problem wynika z braku de-duplikacji nazw plików w systemach plików rozróżniających wielkość liter.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do nadpisania ważnych plików na systemie ofiary, co może prowadzić do utraty danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji oprogramowania.
Rekomendacja
Zaleca się aktualizację do wersji 0.47.2, która naprawia tę podatność. Dodatkowo, warto rozważyć ograniczenie możliwości korzystania z funkcji drag-and-drop w środowiskach o podwyższonym ryzyku.
Oryginalny opis (angielski, źródło NVD)
Kitty is a cross-platform GPU based terminal. In versions 0.47.0 and 0.47.1, `kitten dnd` can allow a malicious remote drag-and-drop source to overwrite or truncate arbitrary files writable by the local kitty user. Remote `text/uri-list` drops are staged in a temporary directory, but on case-sensitive filesystems duplicate remote basenames are not de-duplicated. An attacker can first create a staged symlink and then send a same-name regular-file entry. The regular-file write uses `utils.CreateAt()` / `openat(O_RDWR|O_CREAT|O_TRUNC)` without `O_NOFOLLOW`, so it follows the attacker-created symlink and writes outside the staging directory before final overwrite confirmation runs. This appears related in class to the file-transfer symlink advisory, but it is a different bug: it affects `kitten dnd` remote drag-and-drop staging, uses different vulnerable code (`kittens/dnd/drop.go` and `tools/utils/file_at_fd.go`), and reproduces on commit `4aa4a5c0567a92553a8c20a88a4352da637fca5d`, after the file-transfer `O_NOFOLLOW` fix. Version 0.47.2 patches the issue.

