CVE-2026-27510

Nome do Software Vulnerável e Versões Afetadas Unitree Go2 versões 1.1.7 a 1.1.11

Description A execução remota de código é possível devido à falta de proteção de integridade e validação de programas criados pelo usuário quando utilizados com o aplicativo Android Unitree Go2 (com.unitree.doggo2). O aplicativo armazena programas em um banco de dados SQLite local (unitree go2.db, tabela dog programme) e transmite o conteúdo de programme text, especificamente o campo pyCode, para o robô. A função actuator manager.py do robô executa o código Python fornecido como root sem verificar a integridade ou validar o conteúdo. Um invasor com acesso local ao dispositivo Android pode manipular o registro do programa armazenado para injetar código Python arbitrário, que é executado quando o usuário ativa o programa por meio de uma atribuição de tecla do controlador; essa atribuição maliciosa persiste após reinicializações. Além disso, a importação e execução de um programa malicioso compartilhado através do mercado comunitário do aplicativo pode resultar na execução de código arbitrário no robô.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.