El investigador Dennis Dast de Proofnet ha revelado una vulnerabilidad crítica de ejecución remota de código (RCE) en KDE Konsole, el emulador de terminal por defecto en entornos KDE Plasma. Identificada como CVE-2025-49091, esta falla permite a un atacante ejecutar comandos arbitrarios en sistemas Linux vulnerables simplemente al visitar un sitio web malicioso, si se cumplen ciertas condiciones.
🔍 Descripción técnica
La vulnerabilidad reside en la forma en que Konsole y el componente KTelnetService manejan esquemas de URL como telnet://, rlogin:// y ssh://. Estos esquemas están registrados como manejadores en el sistema mediante el archivo ktelnetservice6.desktop, que define cómo deben abrirse estas URLs desde otras aplicaciones, como navegadores web.
El problema se presenta cuando el sistema tiene instalada una versión vulnerable de Konsole (anterior a 25.04.2) y no tiene instalados los binarios telnet, rlogin o ssh. En ese caso, KTelnetService intenta ejecutar el esquema con el binario correspondiente, pero al no encontrarlo, Konsole cae en un fallback inseguro que ejecuta /bin/bash con los argumentos proporcionados en la URL. Esto permite que un atacante ejecute comandos arbitrarios si logra que el usuario haga clic en un enlace telnet:// malicioso.
🧪 Prueba de concepto (PoC)
El ataque puede iniciarse desde un sitio web que:
1. Descarga automáticamente un archivo malicioso (por ejemplo, un script con echo "Hello world" y touch /tmp/foobar) en la carpeta ~/Downloads/.
2. Redirige al navegador a una URL como telnet:///proc/self/cwd/Downloads/evil.
Si el navegador (como Firefox) tiene configurado permitir la apertura de enlaces telnet:// con KTelnetService, y el usuario acepta el aviso, el archivo descargado se ejecutará en Konsole usando /bin/bash.
⚠️ Condiciones necesarias para la explotación
- Konsole versión anterior a 25.04.2
- KTelnetService instalado y registrado como manejador de esquemas
- Ausencia de los binarios telnet, rlogin o ssh
- Navegador que permita abrir enlaces externos (con o sin confirmación del usuario)
- Usuario que haga clic o acepte abrir el enlace
🛡️ Mitigación y solución
- Actualizar Konsole a la versión 25.04.2 o superior, donde se ha corregido el comportamiento inseguro.
- Eliminar o desregistrar KTelnetService si no se utiliza.
- Evitar aceptar enlaces telnet://, ssh:// o rlogin:// desde el navegador, especialmente si provienen de fuentes no confiables.
- Revisar la configuración del navegador para deshabilitar la apertura automática de esquemas personalizados.
📊 Impacto
Según el vector CVSS 3.1, la vulnerabilidad tiene una puntuación de 8.2 (Alta), ya que permite ejecución remota de código con interacción mínima del usuario, comprometiendo la confidencialidad, integridad y disponibilidad del sistema.
