| Title | Electerm projectのElectermにおける複数の脆弱性 |
|---|---|
| Summary | electermはオープンソースのターミナル/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftpクライアントです。バージョン3.8.15およびそれ以前のバージョンでは、Electermのターミナルハイパーリンクハンドラーが、ターミナル内でクリックされた任意のURLをプロトコル検証なしに直接shell.openExternalに渡します。攻撃者はターミナル出力を制御できる場合(例:悪意のあるSSHサーバー、侵害されたリモートホスト、またはターミナルコンテンツをレンダリングする悪意のあるプラグインを介して)、被害者が表示されたリンクをクリックするだけで、被害者のマシン上で任意のコードを実行したりローカルファイルにアクセスしたりできます。公開時点では、利用可能なパッチはありません。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 8, 2026, midnight |
| Registration Date | May 11, 2026, 11:05 a.m. |
| Last Update | May 11, 2026, 11:05 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.6 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| Electerm project |
| Electerm 3.8.15 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月11日] 掲載 |
May 11, 2026, 11:05 a.m. |
| Summary | electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. In versions 3.8.15 and prior, Electerm's terminal hyperlink handler passes any URL clicked in the terminal directly to shell.openExternal without any protocol validation. An attacker who controls terminal output (e.g., via a malicious SSH server, compromised remote host, or malicious plugin rendering terminal content) can thus achieve arbitrary code execution or local file access on the victim's machine, requiring only that the victim clicks a displayed link. At time of publication, there are no publicly available patches. |
|---|---|
| Publication Date | May 8, 2026, 1:16 p.m. |
| Registration Date | May 9, 2026, 4:11 a.m. |
| Last Update | May 9, 2026, 12:54 a.m. |