CVE-2026-45261
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
W aplikacji desktopowej GitButler, opartej na Tauri, przed wersją 0.19.7 występuje podatność na zdalne wykonanie kodu. Atakujący może wstrzyknąć złośliwy link w treści pull requesta, co po kliknięciu przez użytkownika umożliwia wykonanie dowolnego skryptu w widoku webowym Tauri.
Ocena ryzyka
Organizacje, które nie włączyły integracji forge, nie są narażone na to ryzyko. Jednak użytkownicy, którzy klikną na złośliwy link, mogą mieć swoje systemy skompromitowane.
Rekomendacja
Zaleca się aktualizację aplikacji GitButler do wersji 0.19.7, aby usunąć tę podatność. Dodatkowo, użytkownicy powinni być ostrożni przy klikaniu linków w pull requestach.
Oryginalny opis (angielski, źródło NVD)
GitButler is a modern Git-based version control interface for AI-powered workflows. Prior to 0.19.7, a emote code execution vulnerability exists in the Tauri-based GitButler desktop application. An attacker can inject a malicious link in a pull request body, which if clicked by the user allows for arbitrary script execution in the Tauri webview. Users that have not enabled forge integration are not at risk. This vulnerability is fixed in 0.19.7.

