Vulnerabilidad en Tabby (CVE-2024-55950)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/12/2024
Última modificación:
27/12/2024
Descripción
Tabby (anteriormente Terminus) es un emulador de terminal altamente configurable. Antes de la versión 1.0.216, el emulador de terminal Tabby contiene permisos excesivamente permisivos que son innecesarios para su funcionalidad principal y sistema de complementos, lo que crea posibles vulnerabilidades de seguridad. La aplicación actualmente tiene permisos poderosos que incluyen acceso a la cámara, al micrófono y la capacidad de acceder a carpetas personales (Descargas, Documentos, etc.) a través de Apple Events, al mismo tiempo que mantiene permisos peligrosos que permiten la inyección de código. Los permisos en cuestión son com.apple.security.cs.allow-dyld-environment-variables y com.apple.security.cs.disable-library-validation. Dado que los complementos y temas de Tabby están basados en NodeJS sin librerías o marcos nativos y no se utilizan variables de entorno en el código base, se recomienda revisar y eliminar al menos uno de los derechos (com.apple.security.cs.disable-library-validation o com.apple.security.cs.allow-dyld-environment-variables) para evitar la inyección de DYLD_INSERT_LIBRARIES y, al mismo tiempo, mantener la funcionalidad completa de la aplicación. Esta vulnerabilidad se corrigió en la versión 1.0.216.
Impacto
Puntuación base 4.0
8.60
Gravedad 4.0
ALTA