Plataforma
java
Componente
ghidra
Corrigido em
12.0.3
A vulnerabilidade CVE-2026-4946 afeta as versões Ghidra anteriores a 12.0.3. Ela permite a execução de código arbitrário ao processar diretivas de anotação em dados binários extraídos. A falha ocorre quando um analista interage com a interface do usuário, permitindo a execução de comandos controlados pelo atacante. As versões afetadas são de 0 a 12.0.3, e a correção está disponível na versão 12.0.3.
A vulnerabilidade CVE-2026-4946 no Ghidra, com uma pontuação CVSS de 8.8, permite a execução arbitrária de comandos através da manipulação de diretivas de anotação. Versões do Ghidra anteriores à 12.0.3 processam incorretamente as diretivas de anotação incorporadas em dados binários extraídos automaticamente. Um atacante pode criar um binário malicioso que contenha a anotação @execute (destinada a comentários escritos pelo usuário e confiáveis) dentro de comentários gerados durante a autoanálise, como CFStrings em arquivos Mach-O. Quando um analista interage com a interface do usuário e clica em texto aparentemente inofensivo contendo essas anotações, o código arbitrário é executado. Isso representa um risco significativo para a segurança, especialmente em ambientes onde o Ghidra é usado para analisar software de fontes potencialmente não confiáveis.
A exploração desta vulnerabilidade requer um binário malicioso especialmente criado. O atacante deve incorporar a anotação @execute dentro de comentários gerados durante a autoanálise, como CFStrings em arquivos Mach-O. Quando um analista abre este binário em uma versão vulnerável do Ghidra e clica no texto contendo a anotação, o código especificado na anotação é executado. A dificuldade reside na criação do binário malicioso, mas uma vez criado, a exploração é relativamente direta, dependendo da interação do usuário com a interface do Ghidra.
Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.
• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.
Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.
lsof -p $(pidof Ghidra)• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.
disclosure
patch
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação recomendada para esta vulnerabilidade é atualizar para o Ghidra versão 12.0.3 ou posterior. Esta versão corrige o tratamento inadequado das diretivas de anotação @execute em comentários gerados automaticamente. Até que a atualização seja realizada, evite analisar arquivos binários de fontes não confiáveis. Além disso, revise quaisquer análises recentes realizadas com versões vulneráveis do Ghidra em busca de possíveis sinais de exploração. A atualização é a maneira mais eficaz de eliminar o risco associado ao CVE-2026-4946.
Atualize o Ghidra para a versão 12.0.3 ou posterior. Essa versão corrige a vulnerabilidade que permite a execução de comandos arbitrários por meio de diretivas de anotação maliciosas em dados binários extraídos automaticamente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma diretiva de anotação no Ghidra projetada para executar código arbitrário. Normalmente, é usada para comentários escritos pelo usuário, mas a vulnerabilidade permite que seja acionada a partir de comentários gerados automaticamente.
É um formato de arquivo executável usado no macOS e iOS. A vulnerabilidade se manifesta ao analisar arquivos Mach-O contendo anotações maliciosas.
Se você estiver usando uma versão do Ghidra anterior à 12.0.3, você é vulnerável. Você pode verificar sua versão no menu 'Ajuda' -> 'Sobre o Ghidra'.
Revise cuidadosamente os resultados dessas análises e procure qualquer comportamento inesperado. Considere reinstalar o Ghidra versão 12.0.3 ou posterior para evitar possíveis efeitos persistentes.
Não há mitigação eficaz sem atualizar para a versão 12.0.3 ou posterior. Evitar a análise de arquivos de fontes não confiáveis é a única alternativa temporária.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.