CVE-2026-45369

Nome do Software Vulnerável e Versões Afetadas python-utcp versões anteriores a 1.1.3

Descrição O método substitute utcp args em cli communication protocol.py insere valores de tool args controlados pelo usuário diretamente em strings de comando do shell sem sanitização ou escape. Esses comandos são executados via /bin/bash -c no Unix ou powershell.exe -Command no Windows, permitindo que um invasor não autenticado injete metacaracteres de shell, como ;, |, &, crases e $(), para obter a execução remota de código no sistema host.

Recomendações Atualize para a versão 1.1.3 ou superior. Como medida paliativa temporária, recuse todos os tool args controlados por invasores.