SwiftTerm代码注入漏洞 · CVE-2022-23465

漏洞详情

包名: swift
仓库: github.com/migueldeicaza/SwiftTerm (Swift)

受影响版本: < 1.2.0
已修复版本: 1.2.0

影响描述

攻击者可通过特定字符转义序列修改窗口标题，然后将其插入用户终端的命令行中（例如当用户查看包含恶意序列的文件时），这可能允许攻击者执行任意命令。

技术细节

漏洞类型: 代码注入 (CWE-94)
严重程度: 高危 (CVSS评分7.1)

CVSS v3基础指标:

• 攻击向量: 本地
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 需要
• 范围: 已改变
• 机密性影响: 高
• 完整性影响: 低
• 可用性影响: 无

修复信息

修复版本: ce596e0dc8cdb288bc7ed5c6a59011ee3a8dc171
可用解决方案: 无可用临时解决方案

参考信息

发现者: David Leadbeater (dgl@dgl.cx, @dgl at Github.com)

历史相关漏洞:

• CVE-2003-0063
• CVE-2008-2383

额外参考资料:

• https://marc.info/?l=bugtraq&m=104612710031920&w=2
• https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=510030

相关标识:

• GHSA ID: GHSA-jq43-q8mx-r7mq
• CVE ID: CVE-2022-23465

源代码仓库: migueldeicaza/SwiftTerm