CVE-2026-33414

Name of the Vulnerable Software and Affected Versions Podman versões 4.8.0 até 5.8.1

Description Um problema de injeção de comando existe no backend de máquina HyperV dentro do arquivo pkg/machine/hyperv/stubber.go. O caminho da imagem da VM é inserido em uma string de aspas duplas do PowerShell sem sanitização, o que permite a injeção de subexpressões $(). Como o PowerShell avalia subexpressões dentro de strings com aspas duplas antes de executar o comando externo, um invasor que controle o caminho da imagem da VM por meio de um nome de máquina ou diretório de imagem manipulado pode executar comandos PowerShell arbitrários. Isso ocorre com os privilégios do processo Podman, o que, em instalações típicas do Windows, resulta na execução de código em nível de SYSTEM. Este problema afeta exclusivamente o Windows.

Recommendations Atualizar para a versão 5.8.2.