CVE-2025-43929

open_actions.py in kitty before 0.41.0 does not ask for user confirmation before running a local executable file that may have been linked from an untrusted document (e.g., a document opened in KDE ghostwriter).

References

Affected packages

Git / github.com/kovidgoyal/kitty

Affected ranges

Type

GIT

Repo

https://github.com/kovidgoyal/kitty

Events

Introduced

Fixed

26747284bb1ab758f6ee014828de4a34df1023c1

Fixed

ce5cfdd9caf44c538af800a07162e1f49bd53c35

Database specific

{
    "versions": [
        {
            "introduced": "0"
        },
        {
            "fixed": "0.41.0"
        }
    ]
}

Affected versions

v0.*

v0.1.0

v0.10.0

v0.10.1

v0.11.0

v0.11.1

v0.11.2

v0.11.3

v0.12.0

v0.12.1

v0.12.2

v0.12.3

v0.13.0

v0.13.1

v0.13.2

v0.13.3

v0.14.0

v0.14.1

v0.14.2

v0.14.3

v0.14.4

v0.14.5

v0.14.6

v0.15.0

v0.15.1

v0.16.0

v0.17.0

v0.17.1

v0.17.2

v0.17.3

v0.17.4

v0.18.0

v0.18.1

v0.18.2

v0.18.3

v0.19.0

v0.19.1

v0.19.2

v0.19.3

v0.2.0

v0.2.1

v0.2.2

v0.2.3

v0.2.4

v0.2.5

v0.2.6

v0.2.7

v0.2.8

v0.20.0

v0.20.1

v0.20.2

v0.20.3

v0.21.0

v0.21.1

v0.21.2

v0.22.0

v0.22.1

v0.22.2

v0.23.0

v0.23.1

v0.24.0

v0.24.1

v0.24.2

v0.24.3

v0.24.4

v0.25.0

v0.25.1

v0.25.2

v0.26.0

v0.26.1

v0.26.2

v0.26.3

v0.26.4

v0.26.5

v0.27.0

v0.27.1

v0.28.0

v0.28.1

v0.29.0

v0.29.1

v0.29.2

v0.3.0

v0.30.0

v0.30.1

v0.31.0

v0.32.0

v0.32.1

v0.32.2

v0.33.0

v0.33.1

v0.34.0

v0.34.1

v0.35.0

v0.35.1

v0.35.2

v0.36.0

v0.36.1

v0.36.2

v0.36.3

v0.36.4

v0.37.0

v0.38.0

v0.38.1

v0.39.0

v0.39.1

v0.4.0

v0.4.1

v0.4.2

v0.40.0

v0.40.1

v0.5.0

v0.5.1

v0.6.0

v0.6.1

v0.7.0

v0.7.1

v0.8.0

v0.8.1

v0.8.2

v0.8.3

v0.8.4

v0.9.0

v0.9.1

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-43929.json"