关键漏洞信息 漏洞概述 CVE编号: CVE-2025-49091 影响系统: 安装了KDE的KTelnetService和Konsole,但至少缺少一个程序(telnet、rlogin或ssh)。 漏洞类型: 通过URL方案从Web浏览器执行远程代码。 漏洞细节 问题描述: 在某些Linux发行版中,如Fedora KDE Plasma Desktop 42,默认安装了Konsole 24.12.3,但缺少telnet和rlogin。这使得攻击者可以通过特制的URL触发任意文件读取漏洞。 攻击方式: 攻击者可以利用特定的URL方案(如 、 或 )在用户的Web浏览器中下载并执行恶意文件。 示例攻击步骤 1. 用户访问包含以下HTML代码的恶意网站: 2. 下载名为 的文件到 目录。 3. 浏览器重定向到 ,触发 运行命令。 4. 由于缺少telnet,Konsole回退到执行 ,导致任意代码执行。 修复措施 修复版本: Konsole 25.04.2 修复内容: 清理参数处理逻辑,确保找不到命令时不再尝试执行 。 时间线 报告日期: 2025-04-16 确认与修复: KDE安全团队确认并修复漏洞,发布补丁。 公开披露: 2025-08-10 参考链接 CVE详情 原始公告