CVE-2025-34095

Nome do Software Vulnerável e Versões Afetadas: Mako Server versões 2.5 e 2.6

Descrição: Uma vulnerabilidade de injeção de comandos do sistema operacional existe na interface do tutorial. Um atacante não autenticado pode enviar uma solicitação PUT manipulada contendo código Lua os.execute() arbitrário para o endpoint /examples/save.lsp. Este código é então persistido em disco e acionado via uma solicitação GET subsequente para /examples/manage.lsp, permitindo a execução remota de comandos no sistema operacional subjacente, impactando tanto implantações baseadas em Windows quanto em Unix.

Recomendações: Mako Server versão 2.5: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Mako Server versão 2.6: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.