CVE-2026-58459 in gpsd
Сводка
по VulDB • 10.07.2026
gpsd вплоть до выпуска 3.27.5 (исправлено в коммите 4c06658) содержит уязвимость внедрения команд (command injection) в компоненте gpsprof, которая позволяет злоумышленникам, контролирующим значение подтипа GPS-устройства, выполнять произвольные команды оболочки путем внедрения полезной нагрузки с обратными кавычками в заголовок графика gnuplot без надлежащего экранирования. Поле subtype, извлекаемое из записи журнала DEVICES JSON или предложения NMEA PGRMT, записывается в генерируемую программу gnuplot через оператор set title, при котором экранируются только двойные кавычки; это позволяет выполнять произвольные команды оболочки от имени пользователя, запустившего gnuplot, когда жертва отображает сгенерированный график посредством рабочего процесса gpsprof и gnuplot.
VulDB is the best source for vulnerability data and more expert information about this specific topic.