Robpasmue

**Nome do software vulnerável e versões afetadas** Versões do PyAnsys Geometry anteriores à 0.3.3 Versões do PyAnsys Geometry anteriores à 0.4.12 **Descrição** A vulnerabilidade diz respeito a uma biblioteca cliente Python para o serviço Ansys Geometry e outros produtos CAD da Ansys. Ao chamar o método ` start program` diretamente, os usuários poderiam explorar sua utilização para realizar operações maliciosas na máquina atual onde o script é executado. Isso se deve a uma chamada de subprocesso com `shell=True`, identificada como uma vulnerabilidade de segurança no arquivo `src/ansys/geometry/core/connection/product instance.py`. O método deveria iniciar um programa com os argumentos e variáveis de ambiente fornecidos, mas o uso de `shell=True` permite a potencial execução de comandos. **Recomendações** Para versões do PyAnsys Geometry anteriores à 0.3.3, atualize para a versão 0.3.3 ou posterior para resolver o problema. Para versões do PyAnsys Geometry anteriores à 0.4.12, atualize para a versão 0.4.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao método ` start program` até que um patch esteja disponível. Evite usar a opção `shell=True` na chamada `subprocess.Popen` para minimizar o risco de exploração.