Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Ghostty (CVE-2024-56803)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
31/12/2024
Última modificación:
31/12/2024

Descripción

Ghostty es un emulador de terminal multiplataforma. Ghostty, como está permitido por defecto en la versión 1.0.0, permite a los atacantes modificar el título de la ventana mediante una determinada secuencia de escape de caracteres y luego insertarla de nuevo en la línea de comandos de la terminal del usuario, por ejemplo, cuando el usuario visualiza un archivo que contiene la secuencia maliciosa, lo que podría permitir al atacante ejecutar comandos arbitrarios. Este ataque requiere que un atacante envíe secuencias de escape maliciosas seguidas de convencer al usuario de que presione físicamente la tecla "Enter". Corregido en Ghostty v1.0.1.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información