CVE-2026-29091

Nome do Software Vulnerável e Versões Afetadas Versões do Locutus anteriores a 3.0.0

Descrição O Locutus, uma biblioteca projetada para trazer bibliotecas padrão de outras linguagens de programação para JavaScript para fins educacionais, contém uma falha de execução remota de código (RCE). Este problema reside na implementação da função call user func array e seu wrapper call user func. A causa raiz é a falha da função em validar corretamente todos os componentes de um array de callback antes de passá-los para eval(). Especificamente, o código aplica uma verificação de expressão regular ao primeiro elemento do array de callback, mas não ao segundo, permitindo que um atacante injete código JavaScript arbitrário através do segundo elemento. Este código injetado é então executado com os privilégios completos do processo Node.js. A vulnerabilidade está localizada na função call user func array dentro do arquivo src/php/funchand/call user func array.js. Um atacante pode explorar essa falha criando um payload malicioso no parâmetro cb[1], contornando os controles de segurança previstos da biblioteca. A vulnerabilidade não é um problema "drive-by", mas requer que a aplicação atue como um gateway ou roteador usando funções do Locutus. O código vulnerável usa eval() para construir e executar uma chamada de função, o que é inerentemente arriscado.

Recomendações Atualize para o Locutus versão 3.0.0 ou posterior.