Plattform
java
Komponente
ghidra
Behoben in
12.0.3
CVE-2026-4946 describes a remote code execution (RCE) vulnerability in Ghidra versions prior to 12.0.3. This vulnerability arises from how Ghidra handles annotation directives embedded within automatically extracted binary data. An attacker can craft a malicious binary that, when analyzed, presents clickable text that executes arbitrary commands on the analyst's machine, potentially leading to complete system compromise. Affected versions include all releases from 0.0 through 12.0.3; upgrading to version 12.0.3 resolves the issue.
Die CVE-2026-4946-Schwachstelle in Ghidra weist eine kritische Sicherheitslücke mit einem CVSS-Wert von 8.8 auf, die die Ausführung beliebiger Befehle durch Manipulation von Anmerkungsdirektiven ermöglicht. Versionen von Ghidra vor 12.0.3 verarbeiten Anmerkungsdirektiven, die in automatisch extrahierten Binärdaten eingebettet sind, fehlerhaft. Ein Angreifer kann eine bösartige Binärdatei erstellen, die die @execute-Anmerkung (für vertrauenswürdige, benutzerdefinierte Kommentare vorgesehen) innerhalb von Kommentaren enthält, die während der Autoanalyse generiert werden, wie z. B. CFStrings in Mach-O-Dateien. Wenn ein Analyst mit der Benutzeroberfläche interagiert und auf scheinbar harmlosen Text klickt, der diese Anmerkungen enthält, wird beliebiger Code ausgeführt. Dies stellt ein erhebliches Risiko dar, insbesondere bei der Analyse von Software aus potenziell nicht vertrauenswürdigen Quellen.
Die Ausnutzung dieser Schwachstelle erfordert eine speziell erstellte bösartige Binärdatei. Der Angreifer muss die @execute-Anmerkung innerhalb von Kommentaren einbetten, die während der Autoanalyse generiert werden, wie z. B. CFStrings in Mach-O-Dateien. Wenn ein Analyst diese Binärdatei in einer anfälligen Version von Ghidra öffnet und auf den Text klickt, der die Anmerkung enthält, wird der in der Anmerkung angegebene Code ausgeführt. Der Schwierigkeitsgrad liegt in der Erstellung der bösartigen Binärdatei, aber sobald diese erstellt ist, ist die Ausnutzung relativ einfach und hängt von der Interaktion des Benutzers mit der Ghidra-Benutzeroberfläche ab.
Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.
• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.
Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.
lsof -p $(pidof Ghidra)• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.
disclosure
patch
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abhilfemaßnahme für diese Schwachstelle ist die Aktualisierung auf Ghidra Version 12.0.3 oder höher. Diese Version behebt die fehlerhafte Behandlung von @execute-Anmerkungsdirektiven in automatisch generierten Kommentaren. Bis zur Durchführung des Updates sollten Sie die Analyse von Binärdateien aus nicht vertrauenswürdigen Quellen vermeiden. Überprüfen Sie außerdem alle kürzlich durchgeführten Analysen mit anfälligen Versionen von Ghidra auf mögliche Anzeichen einer Ausnutzung. Das Update ist der effektivste Weg, um das mit CVE-2026-4946 verbundene Risiko zu beseitigen.
Actualice Ghidra a la versión 12.0.3 o posterior. Esta versión corrige la vulnerabilidad que permite la ejecución de comandos arbitrarios a través de directivas de anotación maliciosas en datos binarios extraídos automáticamente.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Anmerkungsdirektive in Ghidra, die dazu dient, beliebigen Code auszuführen. Sie wird normalerweise für von Benutzern erstellte Kommentare verwendet, aber die Schwachstelle ermöglicht es, sie von automatisch generierten Kommentaren auszulösen.
Es ist ein ausführbares Dateiformat, das auf macOS und iOS verwendet wird. Die Schwachstelle tritt auf, wenn Mach-O-Dateien mit bösartigen Anmerkungen analysiert werden.
Wenn Sie eine Version von Ghidra vor 12.0.3 verwenden, sind Sie anfällig. Sie können Ihre Version im Menü 'Hilfe' -> 'Über Ghidra' überprüfen.
Überprüfen Sie die Ergebnisse dieser Analysen sorgfältig und suchen Sie nach unerwartetem Verhalten. Erwägen Sie, Ghidra Version 12.0.3 oder höher neu zu installieren, um potenzielle anhaltende Auswirkungen zu vermeiden.
Es gibt keine wirksame Abhilfemaßnahme, ohne auf Version 12.0.3 oder höher zu aktualisieren. Die Vermeidung der Analyse von Dateien aus nicht vertrauenswürdigen Quellen ist die einzige vorübergehende Alternative.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.