[TLP:CLEAR] ITerm2 opravuje kritickou zranitelnost
ITerm2 verzemi 3.5.11 a 3.5.12beta1 opravuje kritickou zranitelnost [1].
Neautentizovanému vzdálenému útočníkovi je umožněno získat citlivé informace z terminálových příkazů přečtením souboru /tmp/framer.txt při použití některých konfigurací it2ssh a SSH integrace během vzdálených přihlášení na hostitelské servery s běžnou instalací Pythonu [1][2].
Zranitelnost se nachází v produktu iTerm2 ve verzích >=3.5.6 AND <3.5.11.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
Více informací:
- CVE-2025-22275 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-532: Insertion of Sensitive Information into Log File at cwe.mitre.org
Zranitelnost byla veřejně oznámena 2. 1. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 9. 1. 2025.