CRITICAL🇬🇧 English

CVE-2026-43944

RCE w electerm — wykonanie kodu przez deep links i spreparowane skróty

CVSS 9.4v4.0pub. 2026-05-08upd. 2026-05-13

Aplikacja electerm (klient terminal/SSH/SFTP/RDP/VNC i inne) w wersjach od 3.0.6 do przed 3.8.15 jest podatna na wykonanie dowolnego lokalnego kodu przez spreparowane deep linki, parametry CLI lub skróty. Podatność jest krytyczna, ponieważ atakujący może przejąć kontrolę nad systemem ofiary przy minimalnej interakcji użytkownika.

Pokaż oryginał (EN)

electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. From versions 3.0.6 to before 3.8.15, electerm is vulnerable to arbitrary local code execution via deep links, CLI --opts, or crafted shortcuts. Exploit requires clicking a crafted electerm://... link or opening a crafted shortcut/command that launches electerm with attacker-controlled opts. This issue has been patched in version 3.8.15.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych wejściowych (CWE-20) połączonej z możliwością wstrzyknięcia i wykonania kodu (CWE-94) oraz ładowania zasobów z niezaufanych lokalizacji (CWE-829). Atak polega na nakłonieniu użytkownika do kliknięcia spreparowanego linku w schemacie electerm://..., otwarcia spreparowanego skrótu systemowego lub uruchomienia electerm z parametrami CLI kontrolowanymi przez atakującego. Aplikacja przetwarza przekazane opcje (opts) bez odpowiedniego oczyszczenia, co prowadzi do wykonania arbitralnego kodu lokalnie na maszynie ofiary.

Skutki

Atakujący może wykonać dowolny kod w kontekście użytkownika uruchamiającego aplikację, co może skutkować pełnym przejęciem kontroli nad systemem, kradzieżą danych (w tym kluczy SSH, haseł, konfiguracji połączeń) oraz dalszym lateral movement w sieci.

Mitygacja

Należy zaktualizować electerm do wersji 3.8.15 lub nowszej, w której podatność została naprawiona. Patche dostępne są w referencjach producenta (GitHub Releases: v3.8.15).

Kogo dotyczy

electerm (Electerm Project) w wersjach od 3.0.6 do 3.8.14 włącznie (przed 3.8.15)

Uwagi

Podatność wymaga interakcji użytkownika (UI:P) — ofiara musi kliknąć spreparowany link lub otworzyć spreparowany skrót. Pomimo tego wektora, wysoki wynik CVSS 9.4 wynika z braku wymaganych uprawnień po stronie atakującego oraz krytycznego wpływu na poufność, integralność i dostępność zarówno systemu lokalnego, jak i systemów powiązanych. Poprawka wprowadzona w commitach: 8a6a179 oraz a79e06f4 w repozytorium GitHub.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Electerm Project Electerm

    APP
    Electerm Project
    3.0.6 – 3.8.15 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-45353CRITICAL9.3PL ✓ten sam produkt

Krytyczna podatność w kliencie electerm (wersje 3.0.6–3.8.8)

CVE-2026-43941CRITICAL9.6PL ✓ten sam produkt

RCE w Electerm — brak walidacji protokołu URL w handlerze hiperłączy

CVE-2026-41500CRITICAL9.8PL ✓ten sam produkt

Command injection w electerm — wykonanie kodu przez złośliwe releaseInfo.name

CVE-2026-41501CRITICAL9.8PL ✓ten sam produkt

Command injection w Electerm — wstrzyknięcie polecenia przez zdalny ciąg wersji

CVE-2020-23256CRITICAL9.8ten sam produkt

An issue was discovered in Electerm 1.3.22, allows attackers to execute arbitrary code via unverified request ...