製品・ソフトウェアに関する情報
Vulnerability Search
KovidgoyalのKittyにおける複数の脆弱性
Title KovidgoyalのKittyにおける複数の脆弱性
Summary

Kittyはクロスプラットフォーム対応のGPUベース端末です。バージョン0.47.2以前のkittyには、ローカル権限昇格の脆弱性が存在します。この脆弱性はkittyのファイル転送プロトコルにあり、端末内で動作する子プロセスがTOCTOU(チェック時と使用時の時間差)競合状態を悪用して、任意のファイルに書き込みを行うことが可能です。具体的には、シンボリックリンクの検証とファイル作成の間に競合が発生します。ファイル作成に使用される`os.open()`呼び出しが`O_NOFOLLOW`を使用していないため、攻撃者は最初のstatチェックと実際のファイルオープンの間にシンボリックリンクを作成でき、書き込みがシンボリックリンクをたどって任意の場所へ及ぶようになります。バージョン0.47.2でこの問題は修正されました。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 12, 2026, midnight
Registration Date June 17, 2026, 3:38 p.m.
Last Update June 17, 2026, 3:38 p.m.
CVSS3.0 : 警告
Score 5
Vector CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:L
Affected System
Kovidgoyal
Kitty 0.47.2 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月17日]
  掲載		 June 17, 2026, 3:38 p.m.
NVD Vulnerability Information
CVE-2026-54055
Summary

Kitty is a cross-platform GPU based terminal. In versions prior to 0.47.2, a local privilege escalation vulnerability exists in kitty's file transmission protocol where a child process running in the terminal can write to arbitrary files on the filesystem by exploiting a TOCTOU (Time-of-Check-Time-of-Use) race condition between symlink validation and file creation. The `os.open()` call used to create files does not use `O_NOFOLLOW`, allowing an attacker to create a symlink between the initial stat check and the actual file open, causing the write to follow the symlink to an arbitrary destination. Version 0.47.2 fixes the issue.

Publication Date June 13, 2026, 5:16 a.m.
Registration Date June 14, 2026, 4:11 a.m.
Last Update June 17, 2026, 1:02 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:kovidgoyal:kitty:*:*:*:*:*:*:*:* 0.47.2
Related information, measures and tools
Common Vulnerabilities List