HIGHCVE-2026-4946CVSS 8.8

CVE-2026-4946 Ghidra 任意命令执行漏洞

平台

java

组件

ghidra

修复版本

12.0.3

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-4946 揭示了 Ghidra 中的一个任意命令执行漏洞。当分析人员与 UI 交互时，攻击者可以执行恶意命令。受影响的版本包括 12.0.3 之前的版本。该漏洞已在 12.0.3 版本中得到修复，建议用户尽快更新。

影响与攻击场景

Ghidra 中的 CVE-2026-4946 存在一个关键的安全漏洞，CVSS 评分达到 8.8，可以通过操纵注释指令实现任意代码执行。12.0.3 之前的 Ghidra 版本会错误地处理嵌入在自动提取的二进制数据中的注释指令。攻击者可以创建一个恶意二进制文件，其中包含 @execute 注释（旨在用于受信任的用户编写的注释）在自动分析过程中生成的注释中，例如 Mach-O 二进制文件中的 CFStrings。当分析师与 UI 交互并点击包含这些注释的看似无害的文本时，将执行任意代码。这给安全带来了重大风险，尤其是在分析来自潜在不可信来源的软件时。

利用背景

利用此漏洞需要一个专门制作的恶意二进制文件。攻击者必须在自动分析过程中生成的注释中嵌入 @execute 注释，例如 Mach-O 文件的 CFStrings。当分析师在漏洞版本的 Ghidra 中打开此二进制文件并点击包含注释的文本时，注释中指定的代码将被执行。困难在于创建恶意二进制文件，但一旦创建，利用就相对简单，并且依赖于分析师与 Ghidra UI 的交互。

哪些人处于风险中翻译中…

Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.

检测步骤翻译中…

• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.

Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine

• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.

lsof -p $(pidof Ghidra)

• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.

攻击时间线

2026-03-29Disclosure
disclosure
2026-03-29Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件ghidra

供应商NSA

影响范围修复版本

0 – 12.0.312.0.3

弱点分类 (CWE)

CWE-78

时间线

已保留2026-03-27
发布日期2026-03-29
修改日期2026-03-30
EPSS 更新日期2026-04-06

缓解措施和替代方案

针对此漏洞的建议缓解措施是升级到 Ghidra 版本 12.0.3 或更高版本。此版本更正了自动生成的注释中 @execute 注释指令的错误处理。在执行升级之前，请避免分析来自不可信来源的二进制文件。此外，请检查使用漏洞版本的 Ghidra 执行的任何最近分析，以寻找潜在的利用迹象。升级是消除与 CVE-2026-4946 相关的风险的最有效方法。

修复方法

将 Ghidra 更新到 12.0.3 或更高版本。此版本修复了通过自动提取的二进制数据中的恶意注释指令实现任意命令执行的漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4946 是什么 — Ghidra 中的漏洞？

它是一个 Ghidra 中的注释指令，旨在执行任意代码。通常用于用户编写的注释，但此漏洞允许它从自动生成的注释中触发。

Ghidra 中的 CVE-2026-4946 是否会影响我？

它是在 macOS 和 iOS 上使用的可执行文件格式。当分析包含恶意注释的 Mach-O 文件时，此漏洞会显现出来。

如何修复 Ghidra 中的 CVE-2026-4946？

如果您使用的是 12.0.3 之前的 Ghidra 版本，则您容易受到攻击。您可以在“帮助”->“关于 Ghidra”菜单中检查您的版本。

CVE-2026-4946 是否正在被积极利用？

仔细检查这些分析的结果，并寻找任何意外行为。考虑重新安装 Ghidra 版本 12.0.3 或更高版本，以避免潜在的持续影响。

在哪里可以找到 Ghidra 关于 CVE-2026-4946 的官方安全通告？

除非升级到版本 12.0.3 或更高版本，否则没有有效的缓解措施。避免分析来自不可信来源的文件是唯一临时的替代方案。