CVE-2026-40499

Name of the Vulnerable Software and Affected Versions radare2 versões anteriores a 6.1.4

Description Um problema de injeção de comando existe na função print gvars() do analisador PDB. Um invasor pode executar comandos arbitrários ao inserir um byte de nova linha no campo de nome do cabeçalho da seção PE. Isso é feito criando um arquivo PDB malicioso com nomes de seção específicos que injetam comandos r2, os quais são executados quando o comando idp processa o arquivo.

Recommendations Atualize para a versão 6.1.4 ou posterior. Como medida paliativa temporária, evite usar o comando idp para processar arquivos PDB não confiáveis.