CVE-2026-22208

Nome do Software Vulnerável e Versões Afetadas OpenS100 versões anteriores ao commit 753cf29

Descrição O software contém uma vulnerabilidade de execução remota de código devido a um interpretador Lua não restrito. O Portrayal Engine inicializa o Lua usando luaL openlibs() sem sandboxing ou restrições de capacidade, expondo bibliotecas padrão como os e io a catálogos de representação não confiáveis. Um invasor pode fornecer um catálogo de representação S-100 malicioso contendo scripts Lua que executam comandos arbitrários com os privilégios do processo OpenS100 quando um usuário importa o catálogo e carrega uma carta. O componente vulnerável é o interpretador Lua dentro do Portrayal Engine.

Recomendações Versões anteriores ao commit 753cf29 devem ser atualizadas para o commit 753cf29 ou posterior.