0X5T4L1N

**Nome do Software Vulnerável e Versões Afetadas** uniget versões anteriores a 0.27.1 **Description** Um problema de injeção de comando existe no uniget, um instalador e atualizador universal para ferramentas de container. O problema ocorre porque o campo `check` de arquivos de metadados JSON é carregado e executado usando `/bin/bash -c` sem a devida validação ou sanitização. Um invasor pode criar metadados maliciosos para executar comandos de shell arbitrários com os privilégios do usuário que executa o software ao realizar operações como `describe`, `install`, `update` ou `inspect`. Isso é desencadeado especificamente dentro da função `RunVersionCheck()`, onde a variável `tool.Check` é passada diretamente para o shell, permitindo que metacaracteres do shell sejam interpretados. **Recommendations** Atualize para a versão 0.27.1. Como medida paliativa temporária, evite usar arquivos de metadados de fontes não confiáveis para evitar a execução de comandos maliciosos através do campo `check`.