CVE-2026-45035 CVSS 8.8 高危

CVE-2026-45035 Tabby URL Scheme远程代码执行漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45035

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Tabby (formerly Terminus)

漏洞概述

Tabby终端模拟器在1.0.233版本之前存在严重的安全漏洞。由于应用程序注册了tabby:// URL协议处理程序，且支持的run命令可直接执行系统命令而无需用户确认或沙箱隔离，攻击者可诱导受害者点击恶意链接，导致系统以当前用户权限远程执行任意代码。

技术细节

该漏洞源于Tabby应用程序对自定义URL Scheme（tabby://）的不安全设计与实现。在受影响的版本中，Tabby安装时会向操作系统注册为`tabby://`协议的默认处理程序。该处理程序逻辑中包含一个`run`端点，用于接收并执行命令。关键缺陷在于，当Tabby解析此类URL时，直接提取`command`参数并将其传递给底层的子进程生成接口，而在此过程中完全绕过了用户授权确认（如弹窗警告）、输入参数的严格清洗以及沙箱环境的隔离限制。这使得攻击者能够通过社会工程学手段，构造包含恶意Shell命令或PowerShell脚本的URL（例如`tabby://run?command=powershell -encodedcommand...`）。一旦受害者点击该链接，操作系统将根据协议注册自动启动Tabby进程，Tabby随即解析并执行载荷。由于继承了用户的全部上下文权限，攻击者可借此在受害者主机上实现完全的远程代码执行，窃取数据或部署后门。

攻击链分析

STEP 1

1. 链接构造

攻击者构造包含恶意命令的tabby:// URL，例如 tabby://run?command=malware.exe。

STEP 2

2. 链接投递

攻击者通过电子邮件、恶意网站或即时通讯软件将链接发送给目标受害者。

STEP 3

3. 用户交互

受害者被诱导点击链接。操作系统识别到tabby://协议，自动启动Tabby应用程序。

STEP 4

4. 命令执行

Tabby解析URL参数，直接调用系统接口执行指定的命令，且无任何安全提示。

STEP 5

5. 系统入侵

恶意代码以受害者的用户权限运行，攻击者获得系统控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-45035 -->
<!-- Attacker hosts this HTML and tricks victim into clicking -->
<a href="tabby://run?command=calc.exe">Click to open Calculator</a>

<!-- Example of a more dangerous command (DO NOT RUN) -->
<!-- <a href="tabby://run?command=touch /tmp/pwned">Click me</a> -->

影响范围

Tabby < 1.0.233

防御指南

临时缓解措施

建议用户尽快将Tabby更新至最新版本以修复此漏洞。如果无法立即更新，应避免点击任何以tabby://开头的链接，或者在操作系统中临时取消该URL协议的处理关联，以阻断攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表