CVE-2026-58459 in gpsdinformação

Sumário

de VulDB • 10/07/2026

O gpsd até à versão release-3.27.5 (corrigido no commit 4c06658) contém uma vulnerabilidade de injeção de comandos no gpsprof que permite aos atacantes, que controlam o valor do subtipo do dispositivo GPS, executar comandos arbitrários da shell ao incorporar payloads com backticks no título do gráfico gnuplot sem a fuga adequada. O campo subtype, obtido a partir de uma entrada JSON DEVICES ou de uma frase NMEA PGRMT, é escrito num programa gnuplot gerado através de um comando set title onde apenas os caracteres aspas duplas são escapados, permitindo a execução arbitrária de comandos da shell com os privilégios do utilizador que executa o gnuplot quando a vítima renderiza o gráfico gerado através do fluxo de trabalho gpsprof e gnuplot.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

VulnCheck

Reservar

30/06/2026

Divulgação

09/07/2026

Moderação

aceite

Entrada

VDB-377224

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!