CVE-2026-58459 in gpsd情報

要約

〜によって VulDB • 2026年07月09日

gpsd (release-3.27.5 まで、commit 4c06658 で修正済み) は、gpsprof にコマンドインジェクションの脆弱性を含んでいます。攻撃者が GPS デバイスの subtype 値を制御できる場合、gnuplot のプロットタイトルにバッククォート形式のペイロードを適切にエスケープせずに埋め込むことで、任意のシェルコマンドを実行できます。DEVICES JSON ログエントリーまたは NMEA PGRMT センテンスから取得される subtype フィールドは、二重引用符のみがエスケープされた set title ステートメントを通じて生成された gnuplot プログラムに書き込まれるため、被害者が gpsprof と gnuplot のワークフローを使用して生成されたプロットを表示した際、gnuplot を実行しているユーザーの権限で任意のシェルコマンドの実行が可能になります。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

VulnCheck

予約する

2026年06月30日

モデレーション

承諾済み

エントリ

VDB-377224

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!