CVE-2026-28211 in NVDA-Dev-Test-Toolbox
Zusammenfassung
von VulDB • 21.05.2026
Die NVDA Dev & Test Toolbox ist ein NVDA-Add-on zur Sammlung von Tools, die die Entwicklung und das Testen von NVDA unterstützen. In den Versionen 2.0 bis 8.0 der Log Reader-Funktion dieses Add-ons besteht eine Schwachstelle. Eine bösartig erstellte Protokolldatei kann zur Ausführung beliebigen Codes führen, wenn ein Benutzer sie mit den Log-Reader-Befehlen liest. Der Prozess zum Lesen von Protokollen verarbeitet Sprachprotokolleinträge auf unsichere Weise. In das Protokoll eingebettete Python-Ausdrücke können ausgewertet werden, wenn Spracheinträge mit Log-Lesebefehlen gelesen werden. Ein Angreifer kann dies ausnutzen, indem er einen Benutzer dazu bringt, eine bösartig erstellte Protokolldatei zu öffnen und sie mit den Log-Lesebefehlen zu analysieren. Wenn das Protokoll gelesen wird, kann vom Angreifer gesteuerter Code mit den Berechtigungen des aktuellen Benutzers ausgeführt werden.
Dieses Problem erfordert keine erhöhten Berechtigungen und beruht ausschließlich auf der Benutzerinteraktion (Öffnen der Protokolldatei). Version 9.0 enthält eine Korrektur für das Problem. Als Workaround sollte auf die Verwendung von Log-Lesebefehlen verzichtet werden, oder zumindest auf Befehle zum Wechseln zur nächsten/vorherigen Protokollnachricht (für jede Art von Nachricht). Für mehr Sicherheit können Gesten im Dialogfeld für Eingabegesten deaktiviert werden.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.