製品・ソフトウェアに関する情報
Vulnerability Search
KovidgoyalのKittyにおけるコマンドインジェクションの脆弱性
Title KovidgoyalのKittyにおけるコマンドインジェクションの脆弱性
Summary

KittyはクロスプラットフォームのGPUベースのターミナルです。バージョン0.47.0未満では、kittyのエラーを通じてサブシェル内にコマンドを注入することが可能でした。特殊なエスケープコードによりkittyはエラーを返しますが、このエラーはエスケープされずにCRLF付きで正しく端末にエコーバックされるため、使用中のシェルによって実行されます。このバグを悪用するには、被害者がnetcatや類似のプログラムを使って攻撃者に接続するか、誰かが接続するのを待つ必要があります。この条件が整うと、攻撃者は特殊なkittyのエスケープコードを用いて被害者のコンピュータを乗っ取ることが可能になります。バージョン0.47.0でこの問題は修正されています。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 12, 2026, midnight
Registration Date June 17, 2026, 3:46 p.m.
Last Update June 17, 2026, 3:46 p.m.
CVSS3.0 : 重要
Score 8.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Affected System
Kovidgoyal
Kitty 0.47.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月17日]
  掲載		 June 17, 2026, 3:46 p.m.
NVD Vulnerability Information
CVE-2026-42850
Summary

Kitty is a cross-platform GPU based terminal. In versions prior to 0.47.0, it is possible to inject commands within the subshell through kitty error. A special escape code will make kitty return an error, this error is not escaped and will be correctly echoed back to the terminal with CRLF, as such it will be run by the shell in use. To exploit this bug, the victim must use a netcat or a similar program to connect to the attacker, or else listening for someone to connect. Once this condition is set, an attacker could pwn the computer of the victim using a special kitty's escape code that will run a command in the shell in use. Version 04.7.0 fixes the issue.

Publication Date June 13, 2026, 5:16 a.m.
Registration Date June 14, 2026, 4:11 a.m.
Last Update June 17, 2026, 1:11 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:kovidgoyal:kitty:*:*:*:*:*:*:*:* 0.47.0
Related information, measures and tools
Common Vulnerabilities List