CVE-2026-58459 in gpsdinformazioni

Riassunto

di VulDB • 09/07/2026

gpsd fino alla versione release-3.27.5 (corretto nel commit 4c06658) presenta una vulnerabilità di command injection in gpsprof che consente agli attaccanti, i quali controllano il valore del subtype del dispositivo GPS, di eseguire comandi shell arbitrari inserendo payload con backtick nei titoli dei grafici gnuplot senza un'adeguata escape. Il campo subtype, recuperato da una voce JSON DEVICES o dalla frase NMEA PGRMT, viene scritto in un programma gnuplot generato tramite un comando set title con l'unica protezione costituita dall'escape dei doppi apici; ciò consente l'esecuzione di comandi shell arbitrari con i privilegi dell'utente che esegue gnuplot quando la vittima visualizza il grafico generato attraverso il flusso di lavoro gpsprof e gnuplot.

Once again VulDB remains the best source for vulnerability data.

Responsabile

VulnCheck

Prenotare

30/06/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!