Plataforma
macos
Componente
iterm2
Corrigido em
3.6.10
A vulnerabilidade CVE-2026-41253 afeta o iTerm2, permitindo a execução de código ao exibir arquivos .txt maliciosos. Essa falha ocorre devido à aceitação de protocolos SSH de fontes não confiáveis, possibilitando o abuso de sinalização in-band. As versões afetadas incluem iTerm2 de 0.0.0 até 3.6.9; uma correção está sendo desenvolvida para mitigar o problema.
A vulnerabilidade CVE-2026-41253 no iTerm2 (versões até 3.6.9) permite a execução de código arbitrário ao exibir um arquivo .txt contendo dados DCS 2000p e OSC 135. O risco é amplificado se o diretório de trabalho contiver um arquivo malicioso cujo nome corresponda a um padrão específico (por exemplo, um nome que comece com 'ace/c+'), permitindo que um atacante manipule a saída do conductor SSH. Isso é considerado um abuso de sinalização in-band, pois o iTerm2 processa comandos do protocolo conductor sem verificar sua origem legítima. A execução de código pode levar ao comprometimento do sistema ou à exfiltração de dados, dependendo das permissões do usuário que executa o iTerm2.
Um atacante pode explorar esta vulnerabilidade enviando um arquivo .txt malicioso por meio de um servidor SSH ou manipulando um arquivo existente no diretório de trabalho do usuário. O arquivo conteria sequências de escape projetadas para enganar o iTerm2 e executar comandos arbitrários. A chave para o sucesso reside na capacidade do atacante de controlar o nome do arquivo e seu conteúdo, garantindo que ele corresponda ao padrão vulnerável e contenha o código malicioso. A natureza 'in-band' da exploração significa que o atacante não precisa de acesso direto ao sistema, mas pode manipular a saída do servidor SSH para comprometer o cliente iTerm2.
Users of iTerm2 who frequently handle files from untrusted sources or operate in environments where malicious files could be introduced are at higher risk. Developers and system administrators using iTerm2 for sensitive tasks, such as SSH key management or code deployment, should prioritize patching.
• macos / terminal:
ps aux | grep iTerm2• macos / terminal: Monitor iTerm2's process list for unexpected child processes. • macos / file system: Check the working directory for suspicious .txt files with names containing 'ace/c+'. • macos / file system: Examine iTerm2's preferences for any unusual conductor protocol settings. • macos / system: Review system logs for any errors or warnings related to iTerm2 or the SSH conductor protocol.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Atualmente, não há uma correção oficial para esta vulnerabilidade. A principal mitigação é atualizar para uma versão do iTerm2 posterior a 3.6.9 assim que estiver disponível. Enquanto isso, evite abrir arquivos .txt de fontes não confiáveis, especialmente aqueles que podem ter sido adulterados. Recomenda-se também limitar as permissões de acesso aos diretórios de trabalho onde os arquivos .txt são processados. Monitorar o sistema em busca de atividades anormais pode ajudar a detectar uma possível exploração. A falta de uma solução imediata torna esta vulnerabilidade crítica para os usuários do iTerm2.
Actualice a la última versión de iTerm2 (3.7 o posterior) para mitigar la vulnerabilidad. La actualización corrige la forma en que iTerm2 maneja los datos DCS 2000p y OSC 135, evitando la ejecución de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um protocolo usado pelo iTerm2 para exibir informações de sessões SSH, como histórico de comandos e saída de programas.
Significa que o atacante pode manipular a saída do servidor SSH para comprometer o cliente iTerm2 sem a necessidade de um canal de comunicação separado.
São sequências de escape usadas para controlar o formato da saída em um terminal. Um atacante pode usar essas sequências para injetar comandos maliciosos.
Altere suas senhas SSH, verifique seu sistema em busca de software malicioso e considere reinstalar o iTerm2.
Atualmente, não há uma data estimada para a solução. Fique atento às atualizações do iTerm2.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.