CVE-2026-54057
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Kitty to wieloplatformowy terminal oparty na GPU. W wersjach przed 0.47.3 odpowiedź na zapytanie OSC 21 (kontrola kolorów) odzwierciedla bajty kontrolowane przez atakującego, w tym znaki nowej linii, wprowadzane do wejścia powłoki bez sanitizacji.
Ocena ryzyka
Brak sanitizacji danych wejściowych może prowadzić do wykonania nieautoryzowanych poleceń w powłoce, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do wersji 0.47.3 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Kitty is a cross-platform GPU based terminal. In versions prior to 0.47.3, kitty's OSC 21 (color-control) query reply reflects attacker-controlled bytes, including newlines, into the shell's input without sanitization. Version 0.47.3 fixes the issue.

