Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en iTerm2 (CVE-2024-38396)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
16/06/2024
Última modificación:
20/06/2025

Descripción

Se descubrió un problema en iTerm2 3.5.x anterior a 3.5.2. El uso sin filtrar de una secuencia de escape para informar el título de una ventana, en combinación con la función de integración tmux incorporada (habilitada de forma predeterminada), permite a un atacante inyectar código arbitrario en la terminal, una vulnerabilidad diferente a CVE-2024-38395.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:iterm2:iterm2:*:*:*:*:*:*:*:* 3.5.0 (incluyendo) 3.5.2 (excluyendo)