CVE-2026-41646

Nome do Software Vulnerável e Versões Afetadas Nuclei versões 3.0.0 até 3.7.9

Descrição Uma falha no sistema de carregamento de módulos do runtime de protocolo JavaScript permite que templates JavaScript leiam arquivos locais .js e .json do sistema de arquivos do host. Isso ocorre porque a função require() utiliza um carregador de sistema de arquivos host padrão que ignora a verificação allow-local-file-access, destinada a restringir o acesso a arquivos fora do diretório de templates. Isso pode levar à exposição de dados sensíveis armazenados em arquivos de configuração JSON, como package.json, repositórios de credenciais ou arquivos de configuração de nuvem. O problema afeta especificamente usuários de CLI que executam templates de terceiros não confiáveis e usuários de SDK que permitem que usuários finais forneçam templates JavaScript.

Recomendações Atualize para a versão 3.8.0. Evite executar templates JavaScript de fontes não verificadas ou não confiáveis.