CVE-2026-43941

Nome do Software Vulnerável e Versões Afetadas Electerm versões anteriores a 3.8.16

Descrição O manipulador de hiperlinks do terminal passa qualquer URL clicada no terminal diretamente para a função shell.openExternal sem validação de protocolo. Um invasor que controle a saída do terminal, como por meio de um servidor SSH malicioso, host remoto comprometido ou plugin malicioso, pode executar código arbitrário ou acessar arquivos locais se a vítima clicar em um link manipulado. Isso ocorre porque o manipulador de protocolo padrão do sistema operacional executa a URI, que pode ser abusada para acionar manipuladores perigosos como ms-msdt: e search-ms:, ou abrir arquivos locais e compartilhamentos de rede via file:// e caminhos UNC para vazar hashes NTLM ou exfiltrar dados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Não clique em nenhum link exibido em sessões de terminal conectadas a servidores não confiáveis. Desative a renderização de hiperlinks nas configurações do terminal. Execute o software em um ambiente restrito, como sandbox, AppArmor ou SELinux, para limitar a criação de manipuladores de protocolo.