CRITICAL🇬🇧 English

CVE-2026-45035

RCE w Tabby via złośliwy URL scheme — command injection bez interakcji

CVSS 9.4v4.0pub. 2026-05-15upd. 2026-05-19

Tabby (dawniej Terminus) przed wersją 1.0.233 umożliwia zdalne wykonanie dowolnych poleceń systemowych poprzez obsługę własnego schematu URL tabby://. Atakujący może nakłonić ofiarę do kliknięcia spreparowanego linku, co natychmiast uruchamia wskazane polecenie z pełnymi uprawnieniami użytkownika.

Pokaż oryginał (EN)

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, Tabby registers itself as the handler for the tabby:// URL scheme on all platforms. The URL scheme handler supports a run command that directly executes OS commands with no user confirmation, sanitization, or sandboxing. An attacker can craft a malicious link (tabby://run?command=...) and deliver it via a website, email, chat message, or any other medium. When a victim clicks the link, the OS launches Tabby which immediately spawns the specified command as a child process with the user's full privileges. This is a zero-click-after-link-visit RCE vulnerability. This vulnerability is fixed in 1.0.233.

🤖 Analiza AI
Jak działa

Tabby rejestruje się jako systemowy handler dla schematu URL tabby:// na wszystkich platformach. Handler obsługuje komendę run (np. tabby://run?command=...), która bezpośrednio przekazuje parametr do systemu operacyjnego jako polecenie do wykonania — bez żadnej walidacji, sanityzacji ani potwierdzenia przez użytkownika. Wystarczy, że ofiara kliknie spreparowany link umieszczony na stronie internetowej, w wiadomości e-mail lub czacie, a system operacyjny uruchamia Tabby, który natychmiast spawuje wskazany proces jako potomny z uprawnieniami zalogowanego użytkownika.

Skutki

Atakujący uzyskuje zdalne wykonanie dowolnego kodu (RCE) z pełnymi uprawnieniami ofiary, bez konieczności jakiejkolwiek dodatkowej interakcji poza kliknięciem linku. Możliwe jest przejęcie kontroli nad systemem, kradzież danych, instalacja złośliwego oprogramowania oraz dalsze działania w sieci ofiary.

Mitygacja

Należy zaktualizować Tabby do wersji 1.0.233 lub nowszej, w której podatność została usunięta. Do czasu aktualizacji zaleca się szczególną ostrożność przy klikaniu linków zawierających schemat tabby:// oraz rozważenie dezaktywacji rejestracji tego schematu URL w systemie operacyjnym.

Kogo dotyczy

Tabby (dawniej Terminus) we wszystkich wersjach przed 1.0.233, na wszystkich obsługiwanych platformach systemowych.

Uwagi

Podatność opisana jest jako 'zero-click-after-link-visit RCE', co oznacza, że samo kliknięcie linku przez ofiarę jest wystarczające do wykonania ataku — nie jest wymagana żadna dalsza interakcja. Fix dostępny w wersji 1.0.233 zgodnie z oficjalnym advisory na GitHub.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Tabby

    APP
    Tabby
    < 1.0.233
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-45036HIGH7.0ten sam produkt

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, Tabby before 1.0.233 a...

CVE-2026-45037HIGH7.1ten sam produkt

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.232, Tabby's terminal linki...

CVE-2026-45038HIGH8.4ten sam produkt

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, since Tabby does not e...

CVE-2026-45035 — RCE w Tabby via złośliwy URL scheme — command injection bez interakcji — CRITICAL 9.4 | CVEbaza.pl