В развиваемом проектом KDE эмуляторе терминала Konsole выявлена уязвимость (CVE-2025-49091), позволяющая организовать выполнение кода в системе при открытии в браузере специально оформленной страницы.
Для Konsole по умолчанию в KDE регистрируется сервис KTelnetService (ktelnetservice6.desktop), подключающий обработчики открываемых в бразузере URL-схем telnet://, rlogin:// и ssh://. При обработке схемы telnet:// в эмуляторе терминала запускалась утилита telnet, которой передавался указанный в ссылке путь. Уязвимость вызвана тем, что в случае, когда в системе не установлена утилита telnet, rlogin или ssh, Konsole при вызове соответствующего обработчики URL запускал командный интерпретатор bash.
Последнее время telnet и rlogin не устанавливается по умолчанию во многих дистрибутивах, например, они отсутствуют в базовой поставке редакции дистрибутива Fedora 42 с KDE. Например, если отсутствует telnet при открытии в браузере ссылки “telnet:///proc/self/cwd/Downloads/evil” в Konsole запускался “/bin/bash /proc/self/cwd/Downloads/evil”. По аналогии можно совершить атаку на обработчики rlogin:// и ssh:// при отсутствии в системе утилит rlogin и ssh.
Эксплуатации уязвимостей сопутствует то, что в конфигурации по умолчанию современные версии Firefox и Chrome автоматически сохраняют инициированные для загрузки файлы, не вывода запрос пользователю, а лишь показывая уведомление о факте состоявшейся загрузки. В Firefox подобном поведение можно отключить выставив настройку “Always ask you where to save files” на странице конфигуратора “General > Files and Applications”. Как правило, файлы сохраняются в каталог ~/Downloads, на который не зная имени текущего пользователя можно сослаться через файловый путь “/proc/self/cwd/Downloads/”.
Firefox will ask “Allow this site to open the telnet link
with KTelnetService?”.
If the user clicks “Open Link”, KTelnetService will run the following: /usr/bin/konsole –noclose -e telnet /proc/self/cwd/Downloads/evil
Ниже показан пример JavaScript-кода, при выполнении которого на открытой в браузере странице в окружениях KDE с Konsole у пользователя будут выполнены команды “echo “Hello world”; touch /tmp/foobar” (в примере они закодированы в строке “data:;base64,ZWNobyAiSGVsbG8gd29ybGQiCnRvdWNoIC90bXAvZm9vYmFyCg==”). Для работы в Chrome следует изменить имя файла в ссылке на evil.txt, так как Chrome автоматически добавляет расширение txt. Предложенный код формирует ссылку с интегрированными данными, симулирует клик на эту ссылку и перебрасывает пользователя на URL “telnet://…”.
В Firefox при попытке перехода по ссылке “telnet://” по умолчанию будет выведен запрос для подтверждения операции у пользователя. В случае согласия KTelnetService запустит команду:
/usr/bin/konsole –noclose -e telnet /proc/self/cwd/Downloads/evil
Если в системе нет утилиты telnet, Konsole откатится на запуск bash вместо telnet, передав изначально указанный в командной строке аргумент.
Проблема устранена в выпуске Konsole 25.04.2, вошедшем в состав обновления KDE Gear 25.04.2. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD. В качестве обходных путей для блокирования уязвимости можно установить утилиты telnet, rlogin и ssh или удалить файл /usr/share/applications/ktelnetservice6.desktop.