CVE-2026-42086

Nome do Software Vulnerável e Versões Afetadas OpenC3 COSMOS versões anteriores a 7.0.0

Descrição A interface do Command Sender utiliza uma função eval() insegura em parâmetros de comando do tipo array. Isso permite que um payload fornecido pelo usuário seja executado no navegador ao enviar um comando, criando um risco de self-XSS (Cross-Site Scripting). Um invasor poderia disparar a execução de scripts na sessão de uma vítima se conseguir influenciar a entrada do parâmetro de array, por exemplo, por meio de phishing. A exploração bem-sucedida pode permitir que um invasor leia ou modifique dados no contexto do navegador autenticado, incluindo tokens de sessão armazenados no armazenamento local.

Recomendações Atualizar para a versão 7.0.0.