Tabby (dawniej Terminus) przed wersją 1.0.233 umożliwia zdalne wykonanie dowolnych poleceń systemowych poprzez obsługę własnego schematu URL tabby://. Atakujący może nakłonić ofiarę do kliknięcia spreparowanego linku, co natychmiast uruchamia wskazane polecenie z pełnymi uprawnieniami użytkownika.
▸ Pokaż oryginał (EN)
Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, Tabby registers itself as the handler for the tabby:// URL scheme on all platforms. The URL scheme handler supports a run command that directly executes OS commands with no user confirmation, sanitization, or sandboxing. An attacker can craft a malicious link (tabby://run?command=...) and deliver it via a website, email, chat message, or any other medium. When a victim clicks the link, the OS launches Tabby which immediately spawns the specified command as a child process with the user's full privileges. This is a zero-click-after-link-visit RCE vulnerability. This vulnerability is fixed in 1.0.233.
Tabby rejestruje się jako systemowy handler dla schematu URL tabby:// na wszystkich platformach. Handler obsługuje komendę run (np. tabby://run?command=...), która bezpośrednio przekazuje parametr do systemu operacyjnego jako polecenie do wykonania — bez żadnej walidacji, sanityzacji ani potwierdzenia przez użytkownika. Wystarczy, że ofiara kliknie spreparowany link umieszczony na stronie internetowej, w wiadomości e-mail lub czacie, a system operacyjny uruchamia Tabby, który natychmiast spawuje wskazany proces jako potomny z uprawnieniami zalogowanego użytkownika.
Atakujący uzyskuje zdalne wykonanie dowolnego kodu (RCE) z pełnymi uprawnieniami ofiary, bez konieczności jakiejkolwiek dodatkowej interakcji poza kliknięciem linku. Możliwe jest przejęcie kontroli nad systemem, kradzież danych, instalacja złośliwego oprogramowania oraz dalsze działania w sieci ofiary.
Należy zaktualizować Tabby do wersji 1.0.233 lub nowszej, w której podatność została usunięta. Do czasu aktualizacji zaleca się szczególną ostrożność przy klikaniu linków zawierających schemat tabby:// oraz rozważenie dezaktywacji rejestracji tego schematu URL w systemie operacyjnym.
Tabby (dawniej Terminus) we wszystkich wersjach przed 1.0.233, na wszystkich obsługiwanych platformach systemowych.
Podatność opisana jest jako 'zero-click-after-link-visit RCE', co oznacza, że samo kliknięcie linku przez ofiarę jest wystarczające do wykonania ataku — nie jest wymagana żadna dalsza interakcja. Fix dostępny w wersji 1.0.233 zgodnie z oficjalnym advisory na GitHub.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XTabby
APPTabby< 1.0.233
Powiązane podatności
Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, Tabby before 1.0.233 a...
Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.232, Tabby's terminal linki...
Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, since Tabby does not e...