CVE-2026-45035 in tabby
요약
\~에 의해 VulDB • 2026. 05. 19.
Tabby(구 Terminus)는 높은 수준의 구성이 가능한 터미널 에뮬레이터입니다. 버전 1.0.233 이전의 Tabby는 모든 플랫폼에서 tabby:// URL 스키마의 핸들러로 자신을 등록합니다. 이 URL 스키마 핸들러는 사용자 확인, 데이터 정제(sanitization), 샌드박싱 없이 OS 명령을 직접 실행하는 run 명령을 지원합니다. 공격자는 악성 링크(tabby://run?command=...)를 작성하여 웹사이트, 이메일, 채팅 메시지 또는 기타 매체를 통해 전달할 수 있습니다. 피해자가 링크를 클릭하면 OS가 Tabby를 실행하고, Tabby는 즉시 사용자의 전체 권한으로 지정된 명령을 자식 프로세스로 생성합니다. 이는 링크 방문 후 제로 클릭(Zero-click)으로 발생하는 RCE 취약점입니다. 이 취약점은 버전 1.0.233에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.