| タイトル | Electerm projectのElectermにおける複数の脆弱性 |
|---|---|
| 概要 | electermはオープンソースのターミナル/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftpクライアントです。バージョン3.8.15およびそれ以前のバージョンでは、Electermのターミナルハイパーリンクハンドラーが、ターミナル内でクリックされた任意のURLをプロトコル検証なしに直接shell.openExternalに渡します。攻撃者はターミナル出力を制御できる場合(例:悪意のあるSSHサーバー、侵害されたリモートホスト、またはターミナルコンテンツをレンダリングする悪意のあるプラグインを介して)、被害者が表示されたリンクをクリックするだけで、被害者のマシン上で任意のコードを実行したりローカルファイルにアクセスしたりできます。公開時点では、利用可能なパッチはありません。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月8日0:00 |
| 登録日 | 2026年5月11日11:05 |
| 最終更新日 | 2026年5月11日11:05 |
| CVSS3.0 : 緊急 | |
| スコア | 9.6 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| Electerm project |
| Electerm 3.8.15 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月11日] 掲載 |
2026年5月11日11:05 |
| 概要 | electerm is an open-sourced terminal/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp client. In versions 3.8.15 and prior, Electerm's terminal hyperlink handler passes any URL clicked in the terminal directly to shell.openExternal without any protocol validation. An attacker who controls terminal output (e.g., via a malicious SSH server, compromised remote host, or malicious plugin rendering terminal content) can thus achieve arbitrary code execution or local file access on the victim's machine, requiring only that the victim clicks a displayed link. At time of publication, there are no publicly available patches. |
|---|---|
| 公表日 | 2026年5月8日13:16 |
| 登録日 | 2026年5月9日4:11 |
| 最終更新日 | 2026年5月9日0:54 |