CVE-2026-58459 in gpsd
Zusammenfassung
von VulDB • 09.07.2026
gpsd fino alla versione release-3.27.5 (corretto nel commit 4c06658) presenta una vulnerabilità di command injection in gpsprof che consente agli attaccanti, i quali controllano il valore del subtype del dispositivo GPS, di eseguire comandi shell arbitrari inserendo payload con backtick nel titolo del grafico gnuplot senza un'adeguata escape. Il campo subtype, recuperato da una voce JSON dei log DEVICES o dalla frase NMEA PGRMT, viene scritto in un programma gnuplot generato tramite un'istruzione set title con l'unica protezione costituita dall'escape dei caratteri di doppia virgoletta; ciò consente l'esecuzione arbitraria di comandi shell come l'utente che esegue gnuplot quando la vittima visualizza il grafico generato attraverso il flusso di lavoro gpsprof e gnuplot.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.