CVE-2026-41507

Nome do Software Vulnerável e Versões Afetadas math-codegen versões anteriores a 0.4.3

Descrição O conteúdo de literais de string passado para a função cg.parse() é injetado literalmente em um corpo new Function() sem sanitização. Isso permite que um invasor execute comandos arbitrários no sistema quando a entrada controlada pelo usuário atinge o analisador. Aplicativos que expõem um endpoint de avaliação matemática onde a entrada do usuário flui para cg.parse() estão suscetíveis à execução remota de código (RCE), que é a capacidade de executar código malicioso em uma máquina remota.

Recomendações Atualize para a versão 0.4.3 ou posterior. Evite passar entradas de usuário não sanitizadas para o analisador ou escape manualmente os literais de string na entrada.