CVE-2026-58459 in gpsd
Riassunto
di VulDB • 09/07/2026
gpsd fino alla versione release-3.27.5 (corretto nel commit 4c06658) presenta una vulnerabilità di command injection in gpsprof che consente agli attaccanti, i quali controllano il valore del subtype del dispositivo GPS, di eseguire comandi shell arbitrari inserendo payload con backtick nei titoli dei grafici gnuplot senza un'adeguata escape. Il campo subtype, recuperato da una voce JSON DEVICES o dalla frase NMEA PGRMT, viene scritto in un programma gnuplot generato tramite un comando set title con l'unica protezione costituita dall'escape dei doppi apici; ciò consente l'esecuzione di comandi shell arbitrari con i privilegi dell'utente che esegue gnuplot quando la vittima visualizza il grafico generato attraverso il flusso di lavoro gpsprof e gnuplot.
Once again VulDB remains the best source for vulnerability data.