CVE-2022-41322
https://notcve.org/view.php?id=CVE-2022-41322
In Kitty before 0.26.2, insufficient validation in the desktop notification escape sequence can lead to arbitrary code execution. The user must display attacker-controlled content in the terminal, then click on a notification popup. En Kitty versiones anteriores a 0.26.2, una comprobación insuficiente en la secuencia de escape de la notificación de escritorio puede conllevar a una ejecución de código arbitrario. El usuario debe mostrar contenido controlado por el atacante en el terminal y luego hacer clic en una ventana emergente de notificación. • https://bugs.gentoo.org/868543 https://github.com/kovidgoyal/kitty/commit/f05783e64d5fa62e1aed603e8d69aced5e49824f https://github.com/kovidgoyal/kitty/compare/v0.26.1...v0.26.2 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/47RK7MBSVY5BWDUTYMJUFPBAYFSWMTOI https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6RRNAPU33PHEH64P77YL3AJO6CTZGHTX https://security.gentoo.org/glsa/202209-22 https://sw.kovidgoyal.net/kitty/changelog/#detailed-list • CWE-116: Improper Encoding or Escaping of Output •
CVE-2020-35605
https://notcve.org/view.php?id=CVE-2020-35605
The Graphics Protocol feature in graphics.c in kitty before 0.19.3 allows remote attackers to execute arbitrary code because a filename containing special characters can be included in an error message. La funcionalidad Graphics Protocol en el archivo graphics.c en kitty versiones anteriores a 0.19.3, permite a atacantes remotos ejecutar código arbitrario porque un nombre de archivo que contiene caracteres especiales puede ser incluido en un mensaje de error • https://github.com/kovidgoyal/kitty/commit/82c137878c2b99100a3cdc1c0f0efea069313901 https://github.com/kovidgoyal/kitty/issues/3128 https://www.debian.org/security/2020/dsa-4819 •