Plataforma
other
Componente
zai-shell
Corregido en
9.0.4
La vulnerabilidad CVE-2026-25807 es una ejecución remota de código (RCE) que afecta a ZAI Shell en versiones anteriores a 9.0.3. Esta falla permite a un atacante remoto ejecutar comandos arbitrarios en el sistema, potencialmente comprometiendo la integridad y confidencialidad de los datos. La vulnerabilidad se encuentra en la función de intercambio de terminales P2P, donde la falta de autenticación permite la conexión y ejecución de comandos sin validación.
Un atacante puede explotar esta vulnerabilidad conectándose al puerto 5757 del sistema ZAI Shell a través de un script de socket simple. Si el host usuario aprueba el comando sin revisarlo, este se ejecutará directamente con sus privilegios, eludiendo las protecciones de Sentinel. Esto podría resultar en la ejecución de código malicioso, robo de datos sensibles, instalación de malware o incluso el control total del sistema afectado. La falta de autenticación en el proceso de intercambio de terminales amplifica significativamente el riesgo, permitiendo a cualquier atacante remoto con acceso a la red explotar la vulnerabilidad.
Este CVE fue publicado el 9 de febrero de 2026. No se ha reportado explotación activa a la fecha. La probabilidad de explotación se considera media debido a la simplicidad de la explotación y la falta de autenticación. No se ha añadido a la lista KEV de CISA. La vulnerabilidad se basa en un patrón similar a otras fallas de ejecución remota de código que explotan la falta de autenticación en servicios de red.
Organizations utilizing ZAI Shell for SysOps automation, particularly those running versions prior to 9.0.3, are at risk. Environments where ZAI Shell is deployed with the --no-ai flag, bypassing Sentinel safety checks, are especially vulnerable. Shared hosting environments where ZAI Shell is installed could also be impacted if network segmentation is inadequate.
• linux / server:
journalctl -u zaish -g "P2P terminal sharing"• generic web:
curl -v localhost:5757 # Check for open port and lack of authenticationdisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar ZAI Shell a la versión 9.0.3 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente la función de intercambio de terminales P2P. Como alternativa, se puede implementar un firewall para bloquear el acceso al puerto 5757 desde fuentes no confiables. Monitorear el tráfico de red en el puerto 5757 puede ayudar a detectar intentos de explotación. Después de la actualización, verificar que la función de intercambio de terminales P2P requiere autenticación antes de permitir la ejecución de comandos.
Actualice ZAI Shell a la versión 9.0.3 o posterior. Esta versión corrige la vulnerabilidad de ejecución remota de código al requerir autenticación para la función de compartición P2P. Evite usar la función de compartición P2P en modo --no-ai hasta que se actualice.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25807 is a Remote Code Execution vulnerability in ZAI Shell versions prior to 9.0.3. An attacker can execute commands with the host user's privileges through the unauthenticated P2P terminal sharing feature.
You are affected if you are using ZAI Shell versions 9.0.3 or earlier. Check your installed version against the affected range.
Upgrade ZAI Shell to version 9.0.3 or later to remediate the vulnerability. As a temporary workaround, disable the P2P terminal sharing feature or restrict network access to port 5757.
While there are no confirmed active campaigns currently, the vulnerability's simplicity makes it a potential target for exploitation. Continuous monitoring is recommended.
Refer to the official ZAI Shell security advisory for detailed information and updates: [https://zai.sh/security](https://zai.sh/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.