CVE-2026-33642 in kittyالمعلومات

الملخص

بحسب VulDB • 19/05/2026

Kitty هو طرفية (Terminal) تعتمد على وحدة معالجة الرسومات (GPU) وتدعم أنظمة تشغيل متعددة. في الإصدارات 0.46.2 وما دونها، تقوم الدالة handle_compose_command() الموجودة في الملف kitty/graphics.c بإجراء التحقق من الحدود (bounds validation) على إزاحات التركيب (composition offsets) باستخدام حسابيات صحيحة غير موقعة بعرض 32 بت، وهي عرضة لظاهرة التفاف الأعداد الصحيحة (integer wrapping)، مما قد يؤدي إلى قراءة/كتابة غير مشروعة في ذاكرة الهيب (Heap Buffer Over-Read/Write). يمكن لمهاجم قادر على كتابة تسلسلات الهروب (escape sequences) في طرفية kitty (على سبيل المثال، عبر ملف ضار، أو لافتة تسجيل الدخول عبر SSH، أو محتوى مُمرَّر عبر الأنابيب) أن يقدّم قيم x_offset/y_offset مُصمّمة خصيصاً لتجاوز فحص الحدود بعد الالتفاف، مما يتسبب في وصول ضخم إلى ذاكرة الهيب خارج النطاق المحدد في الدالة compose_rectangles(). لا يتطلب الأمر أي تفاعل من المستخدم. ولا يلزم أي إعدادات غير افتراضية. يحتاج المهاجم فقط إلى القدرة على إنتاج مخرجات في نافذة طرفية kitty. تم إصلاح هذه المشكلة في الإصدار 0.47.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

19/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364718

EPSS

0.00062

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33642
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33642
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33642/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!