CVE-2026-45037Tabby(原Terminus)终端模拟器在1.0.232版本之前存在安全漏洞。其终端链接器功能在将检测到的URI传递给操作系统协议处理器之前,未对协议方案进行有效验证。这允许恶意SSH或Telnet服务器发送包含危险协议URI的恶意终端输出,Tabby将其渲染为可点击链接,一旦受害者点击,即可在受害者机器上触发任意操作系统协议处理器,导致潜在的安全风险。
该漏洞源于Tabby的终端链接器组件缺乏对URI协议方案的安全校验机制。当Tabby连接到受攻击者控制的SSH或Telnet服务器时,攻击者可以在服务器的终端输出中插入特定格式的URI字符串(例如`mshta:`、`javascript:`或其他自定义危险协议)。Tabby会自动识别这些字符串并将其渲染为可点击的超链接。由于程序未对协议头进行过滤,当用户无意中点击这些链接时,Tabby会直接调用操作系统的默认协议处理程序来执行该URI。这种行为可能导致任意命令执行、恶意文件下载或应用程序启动,攻击者利用了系统对协议注册的信任机制实现攻击。