CVE-2026-45370

Nome do Software Vulnerável e Versões Afetadas python-utcp versões anteriores a 1.1.3

Descrição A função prepare environment() em cli communication protocol.py passa uma cópia completa de os.environ para cada subprocesso CLI. Isso permite que qualquer variável de ambiente no processo host, como credenciais de provedores de nuvem, strings de conexão de banco de dados e chaves de API de LLM, fique acessível a comandos injetados. Quando combinado com uma falha de injeção de comando na função substitute utcp args(), um invasor pode exfiltrar todos os segredos do nível do processo em uma única chamada de ferramenta.

Recomendações Atualize para a versão 1.1.3 ou posterior.