TechNews
Observatory
Article

Command Execution via Drag-and-Drop in Terminal Emulatorsターミナルエミュレータ(Kitty、xfce4-terminal など)のドラッグ&ドロップ機能により、ファイル名をコマンド実行命令として直接実行する脆弱性が発覚した。

unpinnedSecurity-Global
https://sdushantha.github.io/post/drop-it-like-its-hot
Summary
analysis llm/ollama(qwen3.5:4B) / 39s
published 2026-04-21 14:38 JST
Sources
Reddit / r/netsec
Analysis Tags
command-injectioncve-avoidancedrag-dropgnome-calculatorportswigger-researchterminal-emulator
Manual Tags
none
Reading

Article Notes

要点
  • ターミナルエミュレータ(Kitty、xfce4-terminal など)のドラッグ&ドロップ機能により、ファイル名をコマンド実行命令として直接実行する脆弱性が発覚した。
  • このPoCは特殊制御文字( )とコマンド結合で実現され、MITREがCVE指定に応答しないため非公式な状態が続いている。
  • ファイル名を延長することでPayloadを隠蔽したり、GhosttyやAlacrittyなどの未影響ツールへ移行することが推奨されている。
重要性

ユーザーが意図せずコマンドを実行しやすいため、ローカルターミナルでも深刻なリスクとなり、セキュリティ基準の再考を迫っている。

Signals

Why It Was Selected

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。

Context

背景と運用文脈を補って読むことで、影響の見え方が大きく変わる話題です。実装だけでなく、現場の扱い方や周辺ルールまで見ておく必要があります。