Electerm (klient terminalowy SSH/SFTP/RDP/VNC) w wersjach 3.8.15 i wcześniejszych przekazuje każdy kliknięty URL bezpośrednio do funkcji shell.openExternal bez weryfikacji protokołu. Umożliwia to zdalne wykonanie kodu lub dostęp do lokalnych plików na maszynie ofiary po kliknięciu spreparowanego łącza wyświetlonego w terminalu.
▸ Pokaż oryginał (EN)
electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. In versions 3.8.15 and prior, Electerm's terminal hyperlink handler passes any URL clicked in the terminal directly to shell.openExternal without any protocol validation. An attacker who controls terminal output (e.g., via a malicious SSH server, compromised remote host, or malicious plugin rendering terminal content) can thus achieve arbitrary code execution or local file access on the victim's machine, requiring only that the victim clicks a displayed link. At time of publication, there are no publicly available patches.
Atakujący kontrolujący dane wyświetlane w terminalu (np. poprzez złośliwy serwer SSH, skompromitowany host zdalny lub złośliwy plugin renderujący treść terminala) może osadzić w wyjściu terminala specjalnie spreparowany hiperłącze. Gdy ofiara kliknie to łącze, Electerm przekazuje URL — bez jakiejkolwiek walidacji protokołu — do systemowego wywołania shell.openExternal. Ze względu na brak filtrowania, URL może zawierać schematy inne niż http/https (np. file://, niestandardowe handlery protokołów), co prowadzi do wykonania dowolnego kodu lub odczytu lokalnych plików. Podatność wymaga wyłącznie jednego kliknięcia użytkownika w wyświetlone łącze (CWE-88: niepoprawna neutralizacja argumentów, CWE-601: open redirect / niepoprawna obsługa URL).
Atakujący może osiągnąć zdalne wykonanie kodu (RCE) na maszynie ofiary lub uzyskać nieautoryzowany dostęp do lokalnych plików systemowych, co w połączeniu z wysokim zakresem wpływu (Scope: Changed) może prowadzić do pełnego przejęcia systemu.
W momencie publikacji podatności nie były dostępne żadne publiczne patche. Należy śledzić oficjalne repozytorium projektu (https://github.com/electerm/electerm) oraz security advisory GHSA-fwf6-j56g-m97c i zastosować patch niezwłocznie po jego udostępnieniu. Do czasu wydania poprawki zaleca się unikanie klikania jakichkolwiek łączy wyświetlanych w oknie terminala Electerm, szczególnie podczas połączeń z niezaufanymi hostami SSH, oraz ograniczenie korzystania z aplikacji do zaufanych środowisk.
Electerm w wersjach 3.8.15 i wcześniejszych (projekt Electerm Project Electerm).
W momencie publikacji (2026-05-08) brak publicznie dostępnych patchy — informacja wprost z opisu oryginalnego. Podatność wymaga interakcji użytkownika (kliknięcie łącza), jednak wektor sieciowy i brak wymaganych uprawnień znacząco obniżają barierę wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HElecterm Project Electerm
APPElecterm Project≤ 3.8.15
Powiązane podatności
Krytyczna podatność w kliencie electerm (wersje 3.0.6–3.8.8)
Command injection w electerm — wykonanie kodu przez złośliwe releaseInfo.name
RCE w electerm — wykonanie kodu przez deep links i spreparowane skróty
Command injection w Electerm — wstrzyknięcie polecenia przez zdalny ciąg wersji
An issue was discovered in Electerm 1.3.22, allows attackers to execute arbitrary code via unverified request ...