CRITICAL🇬🇧 English

CVE-2026-45058

electerm: RCE poprzez złośliwe zakładki lub skompromitowany cel synchronizacji

CVSS 9.4v4.0pub. 2026-05-28upd. 2026-06-01

W kliencie terminalowym electerm w wersji 3.8.8 i wcześniejszych możliwe jest trwałe wykonanie dowolnego kodu (RCE) poprzez zaimportowanie złośliwego pliku JSON z zakładkami lub poprzez skompromitowany cel synchronizacji (gist/WebDAV). Podatność jest krytyczna, ponieważ nie wymaga uprawnień atakującego, a jej skutki obejmują pełne przejęcie środowiska lokalnego i systemowego.

Pokaż oryginał (EN)

electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. In 3.8.8 and earlier, there is persistent local-pty code execution via imported bookmarks or compromised sync targets. Affects users who import bookmark JSON files or who have electerm sync configured (gist/WebDAV). The attacker can inject exec* fields or global config to cause remote code to run when a bookmark is opened or when sync is applied.

🤖 Analiza AI
Jak działa

Atakujący wstrzykuje pola exec* lub złośliwą konfigurację globalną do pliku JSON zakładek albo do celu synchronizacji (np. GitHub Gist lub serwer WebDAV). Gdy użytkownik otworzy zainfekowaną zakładkę lub zastosuje synchronizację, electerm wykonuje wstrzyknięty kod bez odpowiedniej weryfikacji integralności lub źródła danych. Mechanizm ten odpowiada CWE-94 (wstrzyknięcie kodu), CWE-345/CWE-494 (brak weryfikacji integralności pobranego kodu) oraz CWE-915 (niekontrolowana modyfikacja właściwości obiektu). Złośliwy kod jest wykonywany w kontekście lokalnego pseudo-terminala (pty), co zapewnia atakującemu trwały dostęp.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem ofiary poprzez wykonanie dowolnego kodu lokalnie — zarówno w kontekście użytkownika, jak i, potencjalnie, w kontekście systemowym. Skutki obejmują kradzież danych, instalację złośliwego oprogramowania oraz możliwość lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://github.com/electerm/electerm/security/advisories/GHSA-jgg9-rw32-44pj). Do czasu aktualizacji zaleca się zaprzestanie importowania zakładek z niezaufanych źródeł oraz wyłączenie funkcji synchronizacji (gist/WebDAV).

Kogo dotyczy

electerm w wersji 3.8.8 i wcześniejszych — dotyczy użytkowników importujących pliki JSON z zakładkami lub korzystających z funkcji synchronizacji electerm (GitHub Gist lub WebDAV)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje