CVE-2026-58459 in gpsdinformación

Resumen

por VulDB • 2026-07-09

gpsd hasta la versión release-3.27.5 (corregida en el commit 4c06658) contiene una vulnerabilidad de inyección de comandos en gpsprof que permite a los atacantes, quienes controlan el valor del subtipo del dispositivo GPS, ejecutar comandos arbitrarios del shell mediante la inserción de cargas útiles con backticks (`` ` ``) en el título del gráfico generado por gnuplot sin un escape adecuado. El campo subtype, obtenido desde una entrada JSON DEVICES o una sentencia NMEA PGRMT, se escribe en un programa gnuplot generado a través de una declaración set title donde solo los caracteres de comillas dobles están escapados, lo que habilita la ejecución arbitraria de comandos del shell con el usuario que ejecuta gnuplot cuando la víctima visualiza el gráfico generado mediante el flujo de trabajo gpsprof y gnuplot.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Reservar

2026-06-30

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377224

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!