CVE-2026-40517

Name of the Vulnerable Software and Affected Versions radare2 versões anteriores a 6.1.4

Description Um problema de injeção de comando existe na função print gvars() do analisador PDB. Um invasor pode executar comandos arbitrários do sistema operacional ao criar um arquivo PDB malicioso contendo caracteres de nova linha em nomes de símbolos. Isso ocorre devido à interpolação não sanitizada de nomes de símbolos no comando de renomeação de flag, que dispara a execução de comandos radare2 injetados quando um usuário executa o comando idp contra o arquivo malicioso através do operador de execução de shell do radare2.

Recommendations Atualizar para a versão 6.1.4 ou posterior.