CVE-2026-31225

Nome do Software Vulnerável e Versões Afetadas superduper versões anteriores a 0.10.0

Descrição Um problema de execução remota de código existe no componente de análise de consultas. A função parse op part() em query.py utiliza a função insegura eval() para avaliar dinamicamente operandos de consulta fornecidos pelo usuário sem a devida sanitização ou restrição. Embora a função tente limitar o contexto de execução por meio de um namespace global restrito, ela não bloqueia o acesso a funções integradas perigosas. Um invasor remoto pode enviar uma string de consulta especialmente elaborada contendo código Python para importar módulos e executar comandos arbitrários do sistema, levando potencialmente ao comprometimento total do servidor.

Recomendações Atualize para uma versão posterior a 0.10.0. Como medida paliativa temporária, restrinja o acesso à função parse op part() até que uma correção seja aplicada.