Katalog CVE

CVE-2026-45261

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.52%

Percentyl 40 — wyżej niż 40% wszystkich znanych CVE

Streszczenie

W aplikacji desktopowej GitButler, opartej na Tauri, przed wersją 0.19.7 występuje podatność na zdalne wykonanie kodu. Atakujący może wstrzyknąć złośliwy link w treści pull requesta, co po kliknięciu przez użytkownika umożliwia wykonanie dowolnego skryptu w widoku webowym Tauri.

Ocena ryzyka

Organizacje, które nie włączyły integracji forge, nie są narażone na to ryzyko. Jednak użytkownicy, którzy klikną na złośliwy link, mogą mieć swoje systemy skompromitowane.

Rekomendacja

Zaleca się aktualizację aplikacji GitButler do wersji 0.19.7, aby usunąć tę podatność. Dodatkowo, użytkownicy powinni być ostrożni przy klikaniu linków w pull requestach.

Oryginalny opis (angielski, źródło NVD)

GitButler is a modern Git-based version control interface for AI-powered workflows. Prior to 0.19.7, a emote code execution vulnerability exists in the Tauri-based GitButler desktop application. An attacker can inject a malicious link in a pull request body, which if clicked by the user allows for arbitrary script execution in the Tauri webview. Users that have not enabled forge integration are not at risk. This vulnerability is fixed in 0.19.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS