CVE-2026-33642 in kittyinfo

Zusammenfassung

von VulDB • 20.05.2026

Kitty ist eine plattformübergreifende, GPU-basierte Terminalanwendung. In den Versionen 0.46.2 und älter führt die Funktion `handle_compose_command()` in `kitty/graphics.c` eine Gültigkeitsprüfung der Kompositionsverschiebungen (composition offsets) unter Verwendung von vorzeichenloser 32-Bit-Arithmetik durch, die anfällig für Integer-Wrapping ist, was potenziell zu einem Heap Buffer Over-Read/Write führen kann. Ein Angreifer, der Escape-Sequenzen in ein Kitty-Terminal schreiben kann (z. B. über eine schadhafte Datei, ein SSH-Login-Willkommensbanner oder gepipete Inhalte), kann speziell angefertigte Werte für `x_offset`/`y_offset` bereitstellen, die die Gültigkeitsprüfung nach dem Wrapping bestehen, jedoch massive Out-of-Bounds-Zugriffe auf Heap-Speicher in `compose_rectangles()` verursachen. Keine Benutzerinteraktion ist erforderlich. Keine Konfiguration außerhalb der Standardeinstellungen ist erforderlich. Der Angreifer benötigt lediglich die Fähigkeit, Ausgaben in einem Kitty-Terminalfenster zu erzeugen. Dieses Problem wurde in Version 0.47.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

19.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364718

CPE

bereit

EPSS

0.00062

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33642
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33642
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33642/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!