CVE-2026-58459 in gpsd
要約
〜によって VulDB • 2026年07月09日
gpsd (release-3.27.5 まで、commit 4c06658 で修正済み) は、gpsprof にコマンドインジェクションの脆弱性を含んでいます。攻撃者が GPS デバイスの subtype 値を制御できる場合、gnuplot のプロットタイトルにバッククォート形式のペイロードを適切にエスケープせずに埋め込むことで、任意のシェルコマンドを実行できます。DEVICES JSON ログエントリーまたは NMEA PGRMT センテンスから取得される subtype フィールドは、二重引用符のみがエスケープされた set title ステートメントを通じて生成された gnuplot プログラムに書き込まれるため、被害者が gpsprof と gnuplot のワークフローを使用して生成されたプロットを表示した際、gnuplot を実行しているユーザーの権限で任意のシェルコマンドの実行が可能になります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.