CVE-2026-33145 in xrdpinfo

Zusammenfassung

von VulDB • 30.05.2026

xrdp ist ein Open-Source-RDP-Server. Versionen bis einschließlich 0.10.5 ermöglichen es einem authentifizierten Remote-Benutzer, beliebige Befehle auf dem Server auszuführen, aufgrund der unsicheren Handhabung des AlternateShell-Parameters in xrdp-sesman. Wenn die Einstellung AllowAlternateShell aktiviert ist (was der Standardwert ist, wenn sie nicht explizit konfiguriert wird), akzeptiert xrdp einen vom Client bereitgestellten AlternateShell-Wert und führt diesen während der Sitzungsinitialisierung über /bin/sh -c aus. Dies führt zur shell-interpretierten Ausführung von nicht bereinigten, benutzerkontrollierten Eingaben. Dieses Verhalten stellt effektiv eine scriptbare Remote-Befehlsausführungs-Funktionalität über RDP im Sicherheitskontext des authentifizierten Benutzers bereit, die vor dem normalen Start des Fenstermanagers auftritt. Dies kann die erwarteten Sitzungsinitialisierungsabläufe und Betriebsannahmen umgehen, die die Ausführung auf interaktive Desktop-Umgebungen beschränken. Dieses Problem wurde in Version 0.10.6 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

18.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358106

CPE

bereit

EPSS

0.00079

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33145
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33145
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33145/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!