Platform
java
Component
ghidra
Opgelost in
12.0.3
CVE-2026-4946 is een kwetsbaarheid voor remote code execution (RCE) in Ghidra. Door het onjuist verwerken van annotaties in automatisch geëxtraheerde binaire data, kan een kwaadaardige actor willekeurige commando's uitvoeren wanneer een analist met de UI interageert. Dit gebeurt doordat de @execute annotatie, bedoeld voor vertrouwde comments, ook wordt geparsed in comments gegenereerd tijdens auto-analyse. De kwetsbaarheid treft Ghidra versies 0 tot en met 12.0.3. Een fix is beschikbaar in versie 12.0.3.
CVE-2026-4946 in Ghidra vormt een kritieke beveiligingskwetsuur met een CVSS-score van 8.8, waardoor willekeurige code-uitvoering mogelijk is via manipulatie van annotatiedirectieven. Versies van Ghidra vóór 12.0.3 verwerken annotatiedirectieven die in automatisch geëxtraheerde binaire gegevens zijn ingebed, onjuist. Een aanvaller kan een kwaadaardig binaire bestand maken dat de @execute-annotatie (bedoeld voor vertrouwde, door de gebruiker gemaakte commentaar) bevat binnen commentaar dat wordt gegenereerd tijdens de automatische analyse, zoals CFStrings in Mach-O-bestanden. Wanneer een analist met de gebruikersinterface communiceert en op tekst klikt die ogenschijnlijk onschuldig is en deze annotaties bevat, wordt willekeurige code uitgevoerd. Dit vormt een aanzienlijk risico, vooral bij het analyseren van software van potentieel onbetrouwbare bronnen.
Het exploiteren van deze kwetsbaarheid vereist een speciaal ontworpen kwaadaardig binaire bestand. De aanvaller moet de @execute-annotatie in commentaar integreren dat wordt gegenereerd tijdens de automatische analyse, zoals CFStrings in Mach-O-bestanden. Wanneer een analist dit binaire bestand in een kwetsbare versie van Ghidra opent en op de tekst klikt die de annotatie bevat, wordt de code die in de annotatie is gespecificeerd, uitgevoerd. De moeilijkheid ligt in het maken van het kwaadaardige binaire bestand, maar zodra het is gemaakt, is de exploitatie relatief eenvoudig en is deze afhankelijk van de interactie van de gebruiker met de Ghidra-gebruikersinterface.
Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.
• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.
Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.
lsof -p $(pidof Ghidra)• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.
disclosure
patch
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor deze kwetsbaarheid is het upgraden naar Ghidra versie 12.0.3 of hoger. Deze versie corrigeert de onjuiste behandeling van @execute-annotatiedirectieven in automatisch gegenereerde commentaar. Totdat de upgrade is uitgevoerd, dient u het analyseren van binaire bestanden van onbetrouwbare bronnen te vermijden. Controleer bovendien recente analyses die zijn uitgevoerd met kwetsbare versies van Ghidra op mogelijke tekenen van uitbuiting. Upgraden is de meest effectieve manier om het risico te elimineren dat aan CVE-2026-4946 is verbonden.
Actualice Ghidra a la versión 12.0.3 o posterior. Esta versión corrige la vulnerabilidad que permite la ejecución de comandos arbitrarios a través de directivas de anotación maliciosas en datos binarios extraídos automáticamente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een annotatiedirectief in Ghidra die bedoeld is om willekeurige code uit te voeren. Het wordt normaal gesproken gebruikt voor door de gebruiker gemaakte commentaar, maar de kwetsbaarheid maakt het mogelijk om het te activeren vanuit automatisch gegenereerd commentaar.
Het is een uitvoerbaar bestandsformaat dat op macOS en iOS wordt gebruikt. De kwetsbaarheid treedt op bij het analyseren van Mach-O-bestanden met kwaadaardige annotaties.
Als u een versie van Ghidra gebruikt vóór 12.0.3, bent u kwetsbaar. U kunt uw versie controleren in het menu 'Help' -> 'Over Ghidra'.
Controleer de resultaten van die analyses zorgvuldig en zoek naar onverwacht gedrag. Overweeg om Ghidra versie 12.0.3 of hoger opnieuw te installeren om potentiële aanhoudende effecten te voorkomen.
Er is geen effectieve mitigatie zonder te updaten naar versie 12.0.3 of hoger. Het vermijden van het analyseren van bestanden van onbetrouwbare bronnen is het enige tijdelijke alternatief.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.