CVEDB API

Vulnerabilities

Vulnerable Software

Vulnerability Details CVE-2026-41253

In iTerm2 through 3.6.9, displaying a .txt file can cause code execution via DCS 2000p and OSC 135 data, if the working directory contains a malicious file whose name is valid output from the conductor encoding path, such as a pathname with an initial ace/c+ substring, aka "hypothetical in-band signaling abuse." This occurs because iTerm2 accepts the SSH conductor protocol from terminal output that does not originate from a legitimate conductor session.

Exploit prediction scoring system (EPSS) score

EPSS Score 0.002

EPSS Ranking 9.7%

CVSS Severity

CVSS v3 Score 6.9

References

Products affected by CVE-2026-41253

Iterm2 » Iterm2 » Version: 1.0.0

cpe:2.3:a:iterm2:iterm2:1.0.0
Iterm2 » Iterm2 » Version: 2.0

cpe:2.3:a:iterm2:iterm2:2.0
Iterm2 » Iterm2 » Version: 2.1.1

cpe:2.3:a:iterm2:iterm2:2.1.1
Iterm2 » Iterm2 » Version: 2.1.3

cpe:2.3:a:iterm2:iterm2:2.1.3
Iterm2 » Iterm2 » Version: 2.1.4

cpe:2.3:a:iterm2:iterm2:2.1.4
Iterm2 » Iterm2 » Version: 2.9.20151111

cpe:2.3:a:iterm2:iterm2:2.9.20151111
Iterm2 » Iterm2 » Version: 2.9.20151229

cpe:2.3:a:iterm2:iterm2:2.9.20151229
Iterm2 » Iterm2 » Version: 2.9.20160102

cpe:2.3:a:iterm2:iterm2:2.9.20160102
Iterm2 » Iterm2 » Version: 2.9.20160113

cpe:2.3:a:iterm2:iterm2:2.9.20160113
Iterm2 » Iterm2 » Version: 2.9.20160206

cpe:2.3:a:iterm2:iterm2:2.9.20160206
Iterm2 » Iterm2 » Version: 2.9.20160313

cpe:2.3:a:iterm2:iterm2:2.9.20160313
Iterm2 » Iterm2 » Version: 2.9.20160422

cpe:2.3:a:iterm2:iterm2:2.9.20160422
Iterm2 » Iterm2 » Version: 2.9.20160426

cpe:2.3:a:iterm2:iterm2:2.9.20160426
Iterm2 » Iterm2 » Version: 2.9.20160510

cpe:2.3:a:iterm2:iterm2:2.9.20160510
Iterm2 » Iterm2 » Version: 2.9.20160523

cpe:2.3:a:iterm2:iterm2:2.9.20160523
Iterm2 » Iterm2 » Version: 3.0.0

cpe:2.3:a:iterm2:iterm2:3.0.0
Iterm2 » Iterm2 » Version: 3.0.1

cpe:2.3:a:iterm2:iterm2:3.0.1
Iterm2 » Iterm2 » Version: 3.0.10

cpe:2.3:a:iterm2:iterm2:3.0.10
Iterm2 » Iterm2 » Version: 3.0.11

cpe:2.3:a:iterm2:iterm2:3.0.11
Iterm2 » Iterm2 » Version: 3.0.12

cpe:2.3:a:iterm2:iterm2:3.0.12
Iterm2 » Iterm2 » Version: 3.0.13

cpe:2.3:a:iterm2:iterm2:3.0.13
Iterm2 » Iterm2 » Version: 3.0.14

cpe:2.3:a:iterm2:iterm2:3.0.14
Iterm2 » Iterm2 » Version: 3.0.15

cpe:2.3:a:iterm2:iterm2:3.0.15
Iterm2 » Iterm2 » Version: 3.0.2

cpe:2.3:a:iterm2:iterm2:3.0.2
Iterm2 » Iterm2 » Version: 3.0.20160531

cpe:2.3:a:iterm2:iterm2:3.0.20160531
Iterm2 » Iterm2 » Version: 3.0.3

cpe:2.3:a:iterm2:iterm2:3.0.3
Iterm2 » Iterm2 » Version: 3.0.4

cpe:2.3:a:iterm2:iterm2:3.0.4
Iterm2 » Iterm2 » Version: 3.0.5

cpe:2.3:a:iterm2:iterm2:3.0.5
Iterm2 » Iterm2 » Version: 3.0.6

cpe:2.3:a:iterm2:iterm2:3.0.6
Iterm2 » Iterm2 » Version: 3.0.7

cpe:2.3:a:iterm2:iterm2:3.0.7
Iterm2 » Iterm2 » Version: 3.0.8

cpe:2.3:a:iterm2:iterm2:3.0.8
Iterm2 » Iterm2 » Version: 3.0.9

cpe:2.3:a:iterm2:iterm2:3.0.9
Iterm2 » Iterm2 » Version: 3.1.0

cpe:2.3:a:iterm2:iterm2:3.1.0
Iterm2 » Iterm2 » Version: 3.1.1

cpe:2.3:a:iterm2:iterm2:3.1.1
Iterm2 » Iterm2 » Version: 3.1.2

cpe:2.3:a:iterm2:iterm2:3.1.2
Iterm2 » Iterm2 » Version: 3.1.3

cpe:2.3:a:iterm2:iterm2:3.1.3
Iterm2 » Iterm2 » Version: 3.1.4

cpe:2.3:a:iterm2:iterm2:3.1.4
Iterm2 » Iterm2 » Version: 3.1.5

cpe:2.3:a:iterm2:iterm2:3.1.5
Iterm2 » Iterm2 » Version: 3.1.6

cpe:2.3:a:iterm2:iterm2:3.1.6
Iterm2 » Iterm2 » Version: 3.1.7

cpe:2.3:a:iterm2:iterm2:3.1.7
Iterm2 » Iterm2 » Version: 3.2.0

cpe:2.3:a:iterm2:iterm2:3.2.0
Iterm2 » Iterm2 » Version: 3.2.1

cpe:2.3:a:iterm2:iterm2:3.2.1
Iterm2 » Iterm2 » Version: 3.2.2

cpe:2.3:a:iterm2:iterm2:3.2.2
Iterm2 » Iterm2 » Version: 3.2.3

cpe:2.3:a:iterm2:iterm2:3.2.3
Iterm2 » Iterm2 » Version: 3.2.4

cpe:2.3:a:iterm2:iterm2:3.2.4
Iterm2 » Iterm2 » Version: 3.2.5

cpe:2.3:a:iterm2:iterm2:3.2.5
Iterm2 » Iterm2 » Version: 3.2.6

cpe:2.3:a:iterm2:iterm2:3.2.6
Iterm2 » Iterm2 » Version: 3.2.7

cpe:2.3:a:iterm2:iterm2:3.2.7
Iterm2 » Iterm2 » Version: 3.2.8

cpe:2.3:a:iterm2:iterm2:3.2.8
Iterm2 » Iterm2 » Version: 3.2.9

cpe:2.3:a:iterm2:iterm2:3.2.9
Iterm2 » Iterm2 » Version: 3.3.0

cpe:2.3:a:iterm2:iterm2:3.3.0
Iterm2 » Iterm2 » Version: 3.3.1

cpe:2.3:a:iterm2:iterm2:3.3.1
Iterm2 » Iterm2 » Version: 3.3.10

cpe:2.3:a:iterm2:iterm2:3.3.10
Iterm2 » Iterm2 » Version: 3.3.11

cpe:2.3:a:iterm2:iterm2:3.3.11
Iterm2 » Iterm2 » Version: 3.3.12

cpe:2.3:a:iterm2:iterm2:3.3.12
Iterm2 » Iterm2 » Version: 3.3.2

cpe:2.3:a:iterm2:iterm2:3.3.2
Iterm2 » Iterm2 » Version: 3.3.3

cpe:2.3:a:iterm2:iterm2:3.3.3
Iterm2 » Iterm2 » Version: 3.3.4

cpe:2.3:a:iterm2:iterm2:3.3.4
Iterm2 » Iterm2 » Version: 3.3.5

cpe:2.3:a:iterm2:iterm2:3.3.5
Iterm2 » Iterm2 » Version: 3.3.6

cpe:2.3:a:iterm2:iterm2:3.3.6
Iterm2 » Iterm2 » Version: 3.3.7

cpe:2.3:a:iterm2:iterm2:3.3.7
Iterm2 » Iterm2 » Version: 3.3.8

cpe:2.3:a:iterm2:iterm2:3.3.8
Iterm2 » Iterm2 » Version: 3.3.9

cpe:2.3:a:iterm2:iterm2:3.3.9
Iterm2 » Iterm2 » Version: 3.4.0

cpe:2.3:a:iterm2:iterm2:3.4.0
Iterm2 » Iterm2 » Version: 3.4.1

cpe:2.3:a:iterm2:iterm2:3.4.1
Iterm2 » Iterm2 » Version: 3.4.10

cpe:2.3:a:iterm2:iterm2:3.4.10
Iterm2 » Iterm2 » Version: 3.4.11

cpe:2.3:a:iterm2:iterm2:3.4.11
Iterm2 » Iterm2 » Version: 3.4.12

cpe:2.3:a:iterm2:iterm2:3.4.12
Iterm2 » Iterm2 » Version: 3.4.13

cpe:2.3:a:iterm2:iterm2:3.4.13
Iterm2 » Iterm2 » Version: 3.4.14

cpe:2.3:a:iterm2:iterm2:3.4.14
Iterm2 » Iterm2 » Version: 3.4.15

cpe:2.3:a:iterm2:iterm2:3.4.15
Iterm2 » Iterm2 » Version: 3.4.16

cpe:2.3:a:iterm2:iterm2:3.4.16
Iterm2 » Iterm2 » Version: 3.4.17

cpe:2.3:a:iterm2:iterm2:3.4.17
Iterm2 » Iterm2 » Version: 3.4.18

cpe:2.3:a:iterm2:iterm2:3.4.18
Iterm2 » Iterm2 » Version: 3.4.19

cpe:2.3:a:iterm2:iterm2:3.4.19
Iterm2 » Iterm2 » Version: 3.4.2

cpe:2.3:a:iterm2:iterm2:3.4.2
Iterm2 » Iterm2 » Version: 3.4.20

cpe:2.3:a:iterm2:iterm2:3.4.20
Iterm2 » Iterm2 » Version: 3.4.21

cpe:2.3:a:iterm2:iterm2:3.4.21
Iterm2 » Iterm2 » Version: 3.4.3

cpe:2.3:a:iterm2:iterm2:3.4.3
Iterm2 » Iterm2 » Version: 3.4.4

cpe:2.3:a:iterm2:iterm2:3.4.4
Iterm2 » Iterm2 » Version: 3.4.5

cpe:2.3:a:iterm2:iterm2:3.4.5
Iterm2 » Iterm2 » Version: 3.4.6

cpe:2.3:a:iterm2:iterm2:3.4.6
Iterm2 » Iterm2 » Version: 3.4.7

cpe:2.3:a:iterm2:iterm2:3.4.7
Iterm2 » Iterm2 » Version: 3.4.8

cpe:2.3:a:iterm2:iterm2:3.4.8
Iterm2 » Iterm2 » Version: 3.4.9

cpe:2.3:a:iterm2:iterm2:3.4.9
Iterm2 » Iterm2 » Version: 3.5.0

cpe:2.3:a:iterm2:iterm2:3.5.0
Iterm2 » Iterm2 » Version: 3.5.1

cpe:2.3:a:iterm2:iterm2:3.5.1
Iterm2 » Iterm2 » Version: 3.5.10

cpe:2.3:a:iterm2:iterm2:3.5.10
Iterm2 » Iterm2 » Version: 3.5.11

cpe:2.3:a:iterm2:iterm2:3.5.11
Iterm2 » Iterm2 » Version: 3.5.12

cpe:2.3:a:iterm2:iterm2:3.5.12
Iterm2 » Iterm2 » Version: 3.5.13

cpe:2.3:a:iterm2:iterm2:3.5.13
Iterm2 » Iterm2 » Version: 3.5.14

cpe:2.3:a:iterm2:iterm2:3.5.14
Iterm2 » Iterm2 » Version: 3.5.15

cpe:2.3:a:iterm2:iterm2:3.5.15
Iterm2 » Iterm2 » Version: 3.5.2

cpe:2.3:a:iterm2:iterm2:3.5.2
Iterm2 » Iterm2 » Version: 3.5.3

cpe:2.3:a:iterm2:iterm2:3.5.3
Iterm2 » Iterm2 » Version: 3.5.4

cpe:2.3:a:iterm2:iterm2:3.5.4
Iterm2 » Iterm2 » Version: 3.5.5

cpe:2.3:a:iterm2:iterm2:3.5.5
Iterm2 » Iterm2 » Version: 3.5.6

cpe:2.3:a:iterm2:iterm2:3.5.6
Iterm2 » Iterm2 » Version: 3.5.7

cpe:2.3:a:iterm2:iterm2:3.5.7
Iterm2 » Iterm2 » Version: 3.5.8

cpe:2.3:a:iterm2:iterm2:3.5.8
Iterm2 » Iterm2 » Version: 3.5.9

cpe:2.3:a:iterm2:iterm2:3.5.9
Iterm2 » Iterm2 » Version: 3.6.0

cpe:2.3:a:iterm2:iterm2:3.6.0
Iterm2 » Iterm2 » Version: 3.6.1

cpe:2.3:a:iterm2:iterm2:3.6.1
Iterm2 » Iterm2 » Version: 3.6.2

cpe:2.3:a:iterm2:iterm2:3.6.2
Iterm2 » Iterm2 » Version: 3.6.3

cpe:2.3:a:iterm2:iterm2:3.6.3
Iterm2 » Iterm2 » Version: 3.6.4

cpe:2.3:a:iterm2:iterm2:3.6.4
Iterm2 » Iterm2 » Version: 3.6.5

cpe:2.3:a:iterm2:iterm2:3.6.5
Iterm2 » Iterm2 » Version: 3.6.6

cpe:2.3:a:iterm2:iterm2:3.6.6
Iterm2 » Iterm2 » Version: 3.6.7

cpe:2.3:a:iterm2:iterm2:3.6.7
Iterm2 » Iterm2 » Version: 3.6.8

cpe:2.3:a:iterm2:iterm2:3.6.8
Iterm2 » Iterm2 » Version: 3.6.9

cpe:2.3:a:iterm2:iterm2:3.6.9

Vulnerabilities

Vulnerable Software

Vulnerability Details CVE-2026-41253

Products

Pricing

Contact Us