CVE-2026-54686
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Warp to środowisko deweloperskie, które w wersjach od 0.2021.04.25.23.05.stable_00 do 0.2026.05.06.15.42.stable_01 akceptowało niezweryfikowane haki cyklu życia terminala z strumienia PTY. Atakujący mógł podszyć się pod wybrane metadane cyklu życia, co mogło prowadzić do ujawnienia wrażliwych informacji.
Ocena ryzyka
Organizacja może być narażona na ataki, w których atakujący manipuluje danymi wyświetlanymi w terminalu, co może prowadzić do nieautoryzowanego dostępu do informacji o bieżącym katalogu roboczym lub metadanych sesji SSH.
Rekomendacja
Zaleca się aktualizację Warp do wersji 0.2026.05.06.15.42.stable_01, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków bezpieczeństwa w celu weryfikacji źródła danych wyświetlanych w terminalu.
Oryginalny opis (angielski, źródło NVD)
Warp is an agentic development environment. From 0.2021.04.25.23.05.stable_00 until 0.2026.05.06.15.42.stable_01, Warp accepted certain state-mutating terminal lifecycle hooks from the PTY stream without verifying that the hooks were emitted by Warp's shell integration for the active session. An attacker who could cause a victim to view attacker-controlled terminal output in Warp could spoof selected lifecycle metadata, including the current working directory reported for the active block or SSH session transport metadata. This vulnerability is fixed in 0.2026.05.06.15.42.stable_01.

