SSH 远程输出可导致本地文件覆盖和持久化 漏洞概述 Warp 版本中包含的 iTerm 文件处理代码接受非内联 有效载荷,从终端输出中解码有效载荷并将其作为本地文件保存,无需额外的确认步骤。 影响范围 受影响版本: Warp >=v0.2025.03.05.08.02.stable_00 修复版本: Warp v0.2026.05.06.15.42.stable_01 修复方案 补丁禁用了非内联 iTerm 文件有效载荷的自动本地写入,并带有警告,同时继续支持合法的 inline 图像渲染。 其他信息 CVSS v3 基础指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: Required - 范围: Unchanged - 机密性: High - 完整性: High - 可用性: High CVE ID: CVE-2025-48720 弱点: - CWE-20 - CWE-73 报告者: - christos-spearbit - N0zom1120 - fishp01 - roocharsh 参考链接: - GHSA-5h96-jrrq-6hxq - CVE-2025-48720 - 修复提交 - 补丁发布