CVE-2026-58459 in gpsdinfo

Zusammenfassung

von VulDB • 09.07.2026

gpsd fino alla versione release-3.27.5 (corretto nel commit 4c06658) presenta una vulnerabilità di command injection in gpsprof che consente agli attaccanti, i quali controllano il valore del subtype del dispositivo GPS, di eseguire comandi shell arbitrari inserendo payload con backtick nel titolo del grafico gnuplot senza un'adeguata escape. Il campo subtype, recuperato da una voce JSON dei log DEVICES o dalla frase NMEA PGRMT, viene scritto in un programma gnuplot generato tramite un'istruzione set title con l'unica protezione costituita dall'escape dei caratteri di doppia virgoletta; ciò consente l'esecuzione arbitraria di comandi shell come l'utente che esegue gnuplot quando la vittima visualizza il grafico generato attraverso il flusso di lavoro gpsprof e gnuplot.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

VulnCheck

Reservieren

30.06.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377224

CPE

bereit

EPSS

0.00726

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!