Scanner gratuitement
HIGHCVE-2026-4946CVSS 8.8

Exécution de commande via l'annotation d'auto-analyse NSA Ghidra

Plateforme

java

Composant

ghidra

Corrigé dans

12.0.3

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-4946, affectant Ghidra, permet l'exécution de commandes arbitraires. Cette faille, présente dans les versions antérieures à 12.0.3, est due à un traitement incorrect des annotations. L'interaction avec l'interface utilisateur peut déclencher l'exécution de commandes. La version 12.0.3 propose une correction.

Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-4946 dans Ghidra, avec un score CVSS de 8.8, permet l'exécution arbitraire de commandes via la manipulation de directives d'annotation. Les versions de Ghidra antérieures à la 12.0.3 traitent incorrectement les directives d'annotation intégrées dans les données binaires extraites automatiquement. Un attaquant peut créer un binaire malveillant contenant l'annotation @execute (destinée aux commentaires rédigés par l'utilisateur et fiables) dans les commentaires générés pendant l'auto-analyse, tels que les CFStrings dans les fichiers Mach-O. Lorsqu'un analyste interagit avec l'interface utilisateur et clique sur un texte apparemment inoffensif contenant ces annotations, du code arbitraire est exécuté. Cela représente un risque de sécurité important, en particulier lorsque l'on analyse des logiciels provenant de sources potentiellement non fiables.

Contexte d'Exploitation

L'exploitation de cette vulnérabilité nécessite un binaire malveillant spécialement créé. L'attaquant doit intégrer l'annotation @execute dans les commentaires générés pendant l'auto-analyse, tels que les CFStrings dans les fichiers Mach-O. Lorsqu'un analyste ouvre ce binaire dans une version vulnérable de Ghidra et clique sur le texte contenant l'annotation, le code spécifié dans l'annotation est exécuté. La difficulté réside dans la création du binaire malveillant, mais une fois créé, l'exploitation est relativement simple, en fonction de l'interaction de l'utilisateur avec l'interface Ghidra.

Qui Est à Risquetraduction en cours…

Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.

Étapes de Détectiontraduction en cours…

• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.

Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine

• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.

lsof -p $(pidof Ghidra)

• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

  2. Patch

    patch

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 15%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantghidra
FournisseurNSA
Plage affectéeCorrigé dans
0 – 12.0.312.0.3

Classification de Faiblesse (CWE)

CWE-78

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

L'atténuation recommandée pour cette vulnérabilité est de mettre à niveau vers Ghidra version 12.0.3 ou ultérieure. Cette version corrige le traitement incorrect des directives d'annotation @execute dans les commentaires générés automatiquement. En attendant que la mise à niveau soit effectuée, évitez d'analyser des fichiers binaires provenant de sources non fiables. De plus, examinez les analyses récentes effectuées avec des versions vulnérables de Ghidra à la recherche de signes potentiels d'exploitation. La mise à niveau est le moyen le plus efficace d'éliminer le risque associé à CVE-2026-4946.

Comment corriger

Mettez à jour Ghidra vers la version 12.0.3 ou ultérieure. Cette version corrige la vulnérabilité qui permet l'exécution de commandes arbitraires via des directives d'annotation malveillantes dans les données binaires extraites automatiquement.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-4946 dans Ghidra ?

C'est une directive d'annotation dans Ghidra conçue pour exécuter du code arbitraire. Elle est généralement utilisée pour les commentaires rédigés par l'utilisateur, mais la vulnérabilité permet de la déclencher à partir de commentaires générés automatiquement.

Suis-je affecté(e) par CVE-2026-4946 dans Ghidra ?

C'est un format de fichier exécutable utilisé sur macOS et iOS. La vulnérabilité se manifeste lors de l'analyse de fichiers Mach-O contenant des annotations malveillantes.

Comment corriger CVE-2026-4946 dans Ghidra ?

Si vous utilisez une version de Ghidra antérieure à la 12.0.3, vous êtes vulnérable. Vous pouvez vérifier votre version dans le menu 'Aide' -> 'À propos de Ghidra'.

CVE-2026-4946 est-il activement exploité ?

Examinez attentivement les résultats de ces analyses et recherchez tout comportement inattendu. Envisagez de réinstaller Ghidra version 12.0.3 ou ultérieure pour éviter les effets persistants potentiels.

Où trouver l'avis officiel de Ghidra pour CVE-2026-4946 ?

Il n'y a pas de mitigation efficace sans mettre à niveau vers la version 12.0.3 ou ultérieure. Éviter d'analyser des fichiers provenant de sources non fiables est la seule alternative temporaire.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE