Il y a quelques jours, des informations ont été publiées à propos d'un vulnérabilité critique, qui a été identifié sous «CVE-2025-49091«. Cette vulnérabilité découvert à Konsole (l'émulateur de terminal KDE), permet l'exécution de code à distance simplement en visitant une page Web malveillante à partir d'un navigateur.
Il est mentionné que ce problème affecte les systèmes où KTelnetService et une version vulnérable de Konsole sont installés, mais au moins un des programmes telnet, rlogin ou ssh n'est pas installé. La vulnérabilité se situe dans la console de l'émulateur de terminal KDE. Comme indiqué dans l'avis de sécurité de KDE, les versions de Konsole antérieures à la version 25.04.2 sont vulnérables.
Konsole prend en charge le chargement d'URL à partir de contrôleurs de schéma tels que
telnet://URL. Cette commande peut être exécutée indépendamment de l'adresse telnet.
Le binaire est disponible.Dans ce mode, Konsole avait un itinéraire où, si Telnet n'était pas disponible,
utiliserait à nouveau bash pour les arguments fournis ; ce qui
est l'URL fournie. Cela permet à un attaquant d'exécuter du code arbitraire.
code.Les navigateurs affichent généralement un message lorsqu'un utilisateur ouvre un navigateur externe.
Contrôleur de schéma qui peut sembler suspect et nécessiter une interaction de l'utilisateur
être exploitable.
La source du problème : KTelnetService et les schémas d'URL dangereux
Les chercheurs soulignent que le problème à l'origine de cette vulnérabilité réside dans le comportement du service KTelnetService, inclus par défaut dans KDE. Ce service est responsable du traitement des schémas d'URL telnet://, rlogin:// et ssh://, et est conçu pour ouvrir ces liens directement dans Konsole à l'aide des utilitaires correspondants (telnet, rlogin ou ssh).
Cependant, la faille se produit lorsque ces utilitaires ne sont pas installés sur le système. Dans ce cas, Konsole, lorsqu'il tente d'exécuter la commande indiquée dans le lien, utilise /bin/bash comme substitut. Un attaquant peut ainsi créer un lien personnalisé.
Bien que cela puisse paraître anodin à première vue, le problème est aggravé par le fait que l'attaquant peut exécuter n'importe quel fichier du répertoire de téléchargement de l'utilisateur à l'aide de la commande personnalisée. Autrement dit, tout fichier est automatiquement exécuté si l'utilisateur clique sur un lien utilisant ce schéma.
Pourquoi est-ce si dangereux ?
Les navigateurs modernes comme Firefox et Chrome (par défaut) enregistrent automatiquement les fichiers téléchargés dans le dossier ~/Téléchargements, sans demander confirmation à l'utilisateur. Ils n'affichent une notification qu'une fois le téléchargement terminé.
Ce comportement, combiné au fait que sur les systèmes Linux, il est possible d'accéder au chemin du répertoire actuel du navigateur, permet à un fichier malveillant téléchargé automatiquement d'être ensuite exécuté depuis Konsole à l'insu de l'utilisateur.
Preuve de concept (PoC) : comment la vulnérabilité est exploitée
Pour démontrer le danger de la faille, les chercheurs ont créé l'extrait de code JavaScript suivant, qui montre comment un attaquant pourrait exploiter cette vulnérabilité à partir d'une page Web :
<html>
<head>
<script type="text/javascript">
function downloadAndRedirect() {
const anchor = document.createElement('a');
anchor.href = "data:;base64,ZWNobyAiSGVsbG8gd29ybGQiCnRvdWNoIC90bXAvZm9vYmFyCg==";
anchor.download = 'evil';
document.body.appendChild(anchor);
anchor.click();
document.body.removeChild(anchor);
setTimeout(() => {
window.location.href = "telnet:///proc/self/cwd/Downloads/evil";
}, 1000);
}
</script>
</head>
<body onload="downloadAndRedirect()">
</body>
</html>
Dans Firefox et Chrome, si l'utilisateur accepte le lien telnet://, la commande suivante sera invoquée :
/usr/bin/konsole --noclose -e telnet /proc/self/cwd/Descargas/evil
Et, si telnet n'est pas présent, le script malveillant sera exécuté avec bash.
Mesures d'atténuation temporaires
En attendant le correctif ou si vous ne pouvez pas effectuer la mise à jour immédiatement, il existe deux moyens simples d'atténuer le problème :
Installez les utilitaires telnet, rlogin et ssh
Si ces utilitaires sont présents, Konsole les appellera correctement et n'aura pas recours à bash. Cela empêche l'exécution de contenu arbitraire sous forme de script.
sudo apt install telnet rlogin openssh-client
Supprimer le fichier de service KTelnetService
Vous pouvez supprimer le fichier responsable de l'enregistrement de ces schémas :
sudo rm /usr/share/applications/ktelnetservice6.desktop
Cela empêchera les liens telnet://, rlogin:// ou ssh:// d'être gérés automatiquement par Konsole.
Solution : mise à jour urgente vers Konsole 25.04.2
La vulnérabilité a été corrigée dans la version 25.04.2 de Konsole, incluse dans la mise à jour KDE Gear 25.04.2. Il est fortement recommandé à tous les utilisateurs et administrateurs système de procéder à la mise à jour immédiatement.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant