つみかさね

CVE-2026-33642

Critical(9.9)

CVE-2026-33642 — Kitty ターミナル ヒープバッファオーバーフロー

公開日: 2026-05-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Kittykovidgoyal<= 0.46.2

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Kittyのバージョンを確認する(kitty --version)
  2. 2v0.47.0以降へアップデートする
  3. 3即時アップデートが困難な場合、信頼できないソースからのコンテンツをKitty端末で表示しない

影響対象

Kittyターミナル利用者

補足

  • -SSHログインバナーや外部ファイルのプレビューにも注意が必要
CVEKittyターミナルヒープオーバーフローRCE

概要

GPUベースのクロスプラットフォームターミナルエミュレータ Kitty の v0.46.2 以下に、ヒープバッファオーバーフローの脆弱性が存在する。kitty/graphics.chandle_compose_command() 関数で、合成オフセット(x_offset/y_offset)の境界検証に符号なし32ビット演算の整数ラップが発生する。攻撃者が細工した値を送り込むことで境界チェックをすり抜け、compose_rectangles() 内で大規模な境界外ヒープアクセスが起きる。

ユーザー操作は一切不要。SSH ログインバナー、悪意あるファイルのプレビュー、パイプされたコンテンツなど、端末への出力機会があれば攻撃が成立し得る。

CVSSベクトル

要素
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh

影響を受けるソフトウェア

製品ベンダーバージョン
Kittykovidgoyal0.46.2 以下

修正バージョンと回避策

パッケージマネージャ経由でインストールしている場合は最新版に更新すること。即時更新が困難な場合、信頼できないソースからのコンテンツを端末で表示しないことが暫定的な対策になる。

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-33633Kitty ヒープバッファオーバーフロー(DoS/RCE)CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33642
GHSA:https://github.com/kovidgoyal/kitty/security/advisories/GHSA-qfgm-2c64-6x3x
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。