KDE Project Security Advisory 漏洞概述 标题: KShell: Incorrect command line parsing 风险等级: Major CVE: CVE-2026-41526 受影响版本: KCoreAddons < 6.25 发布日期: 27 April 2026 描述 多个 KDE 应用程序使用 函数结合 将用户提供的输入传递给任意 shell 命令。 默认将单引号内的输入视为安全,但 会将结果字符串转发到终端,不进行额外的验证或转义。通过嵌入控制字符(如 表示标题开始),攻击者可以突破单引号上下文并注入额外的 shell 元字符。这允许精心构造的输入在未预期的命令执行上下文中导致意外行为,例如在 Delphin(使用嵌入式终端时)和 Kate(使用嵌入式终端时)中尤为明显。 影响范围 攻击者可以构造特殊格式的输入,导致在终端会话中注入命令。如果受害者粘贴或打开受影响应用程序中的操纵内容,任意 shell 命令可能会以用户的权限执行。 修复方案 解决方法: 无 解决方案: - 更新 KCoreAddons 到 6.25 或更高版本。 - 应用补丁:https://invent.kde.org/frameworks/kcoreaddons/-/commit/6153c9ae023fa570174bba4143df38fa2f46606b 致谢 感谢 Felix Boulet 报告此问题,以及 Tobias Fella 提供补丁。