一、 漏洞 CVE-2025-22136 基础信息
漏洞标题
Tabby由于节点保险丝配置错误绕过TCC
来源:AIGC 神龙大模型
漏洞描述信息
Tabby(原名Terminus)是一款高度可配置的终端模拟器。在1.0.217版本之前,Tabby启用了多个高风险的Electron Fuses,包括RunAsNode、EnableNodeCliInspectArguments和EnableNodeOptionsEnvironmentVariable。尽管应用程序使用了强化运行时签名,并且没有启用诸如com.apple.security.cs.disable-library-validation和com.apple.security.cs.allow-dyld-environment-variables这样的危险权限,这些Fuses仍可能创建潜在的代码注入途径。此漏洞在1.0.217版本中已得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
Tabby has a TCC Bypass via Misconfigured Node Fuses
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.217 , Tabby enables several high-risk Electron Fuses, including RunAsNode, EnableNodeCliInspectArguments, and EnableNodeOptionsEnvironmentVariable. These fuses create potential code injection vectors even though the application is signed with hardened runtime and lacks dangerous entitlements such as com.apple.security.cs.disable-library-validation and com.apple.security.cs.allow-dyld-environment-variables. This vulnerability is fixed in 1.0.217.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Tabby 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Tabby(Terminus)是Eugene个人开发者的一个适用于 Windows 10、macOS 和 Linux 的高度可配置的终端仿真器、SSH 和串行客户端。 Tabby 1.0.217之前版本存在代码注入漏洞,该漏洞源于其启用了多个高风险的Electron Fuses,从而产生潜在的代码注入向量。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22136 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-22136 的情报信息