CVE-2026-41500

Nome do Software Vulnerável e Versões Afetadas electerm versões anteriores a 3.3.8

Descrição Um problema de injeção de comando existe na função runMac() dentro do arquivo github.com/elcterm/electerm/npm/install.js:150. A função anexa a variável remota releaseInfo.name, que pode ser controlada por um invasor, diretamente a um comando exec("open ...") sem a validação adequada. Isso afeta usuários que executam npm install -g electerm no Mac OS. Um invasor capaz de controlar os metadados de lançamento remotos fornecidos pelo servidor de atualização do projeto poderia executar comandos arbitrários do sistema, adulterar arquivos locais e comprometer ativos de desenvolvimento ou execução.

Recomendações Atualize para a versão 3.3.8.