CVE-2026-28207

Nome do Software Vulnerável e Versões Afetadas Versões do Zen C anteriores à 0.4.2

Descrição Existe uma vulnerabilidade de injeção de comando no compilador Zen C. Em versões anteriores à 0.4.2, um atacante local pode executar comandos do shell arbitrários fornecendo um nome de arquivo de saída especialmente elaborado por meio do argumento de linha de comando -o. O problema estava localizado na lógica da aplicação main, especificamente em src/main.c, onde o compilador construía uma string de comando do shell usando a função system(). A função system() invocava um shell, interpretando metacaracteres do shell presentes no nome do arquivo de saída, o que resultava na execução arbitrária de comandos. O componente vulnerável é a função system(). O atacante precisa influenciar os argumentos de linha de comando passados para o compilador zc.

Recomendações Atualize para o Zen C versão 0.4.2 ou superior.