Escanear grátis
HIGHCVE-2026-4946CVSS 8.8

Execução de comando de Anotação de Auto-Análise do NSA Ghidra

Plataforma

java

Componente

ghidra

Corrigido em

12.0.3

AI Confidence: highNVDEPSS 0.0%Revisado: mai. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2026-4946 afeta as versões Ghidra anteriores a 12.0.3. Ela permite a execução de código arbitrário ao processar diretivas de anotação em dados binários extraídos. A falha ocorre quando um analista interage com a interface do usuário, permitindo a execução de comandos controlados pelo atacante. As versões afetadas são de 0 a 12.0.3, e a correção está disponível na versão 12.0.3.

Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle

Impacto e Cenários de Ataque

A vulnerabilidade CVE-2026-4946 no Ghidra, com uma pontuação CVSS de 8.8, permite a execução arbitrária de comandos através da manipulação de diretivas de anotação. Versões do Ghidra anteriores à 12.0.3 processam incorretamente as diretivas de anotação incorporadas em dados binários extraídos automaticamente. Um atacante pode criar um binário malicioso que contenha a anotação @execute (destinada a comentários escritos pelo usuário e confiáveis) dentro de comentários gerados durante a autoanálise, como CFStrings em arquivos Mach-O. Quando um analista interage com a interface do usuário e clica em texto aparentemente inofensivo contendo essas anotações, o código arbitrário é executado. Isso representa um risco significativo para a segurança, especialmente em ambientes onde o Ghidra é usado para analisar software de fontes potencialmente não confiáveis.

Contexto de Exploração

A exploração desta vulnerabilidade requer um binário malicioso especialmente criado. O atacante deve incorporar a anotação @execute dentro de comentários gerados durante a autoanálise, como CFStrings em arquivos Mach-O. Quando um analista abre este binário em uma versão vulnerável do Ghidra e clica no texto contendo a anotação, o código especificado na anotação é executado. A dificuldade reside na criação do binário malicioso, mas uma vez criado, a exploração é relativamente direta, dependendo da interação do usuário com a interface do Ghidra.

Quem Está em Riscotraduzindo…

Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.

Passos de Detecçãotraduzindo…

• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.

Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine

• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.

lsof -p $(pidof Ghidra)

• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.

Linha do Tempo do Ataque

  1. Disclosure

    disclosure

  2. Patch

    patch

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

EPSS

0.05% (percentil 15%)

CISA SSVC

Exploraçãopoc
Automatizávelno
Impacto Técnicototal

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteghidra
FornecedorNSA
Faixa afetadaCorrigido em
0 – 12.0.312.0.3

Classificação de Fraqueza (CWE)

CWE-78

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado

Mitigação e Soluções Alternativas

A mitigação recomendada para esta vulnerabilidade é atualizar para o Ghidra versão 12.0.3 ou posterior. Esta versão corrige o tratamento inadequado das diretivas de anotação @execute em comentários gerados automaticamente. Até que a atualização seja realizada, evite analisar arquivos binários de fontes não confiáveis. Além disso, revise quaisquer análises recentes realizadas com versões vulneráveis do Ghidra em busca de possíveis sinais de exploração. A atualização é a maneira mais eficaz de eliminar o risco associado ao CVE-2026-4946.

Como corrigir

Atualize o Ghidra para a versão 12.0.3 ou posterior. Essa versão corrige a vulnerabilidade que permite a execução de comandos arbitrários por meio de diretivas de anotação maliciosas em dados binários extraídos automaticamente.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-4946 em Ghidra?

É uma diretiva de anotação no Ghidra projetada para executar código arbitrário. Normalmente, é usada para comentários escritos pelo usuário, mas a vulnerabilidade permite que seja acionada a partir de comentários gerados automaticamente.

Estou afetado pelo CVE-2026-4946 no Ghidra?

É um formato de arquivo executável usado no macOS e iOS. A vulnerabilidade se manifesta ao analisar arquivos Mach-O contendo anotações maliciosas.

Como corrijo o CVE-2026-4946 no Ghidra?

Se você estiver usando uma versão do Ghidra anterior à 12.0.3, você é vulnerável. Você pode verificar sua versão no menu 'Ajuda' -> 'Sobre o Ghidra'.

O CVE-2026-4946 está sendo explorado ativamente?

Revise cuidadosamente os resultados dessas análises e procure qualquer comportamento inesperado. Considere reinstalar o Ghidra versão 12.0.3 ou posterior para evitar possíveis efeitos persistentes.

Onde encontro o aviso oficial do Ghidra para o CVE-2026-4946?

Não há mitigação eficaz sem atualizar para a versão 12.0.3 ou posterior. Evitar a análise de arquivos de fontes não confiáveis é a única alternativa temporária.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs