CVE-2026-44444

Nome do Software Vulnerável e Versões Afetadas Lumiverse versões anteriores a 0.9.7

Description O pipeline de build da extensão Spindle executa bun install sem a flag --ignore-scripts antes de realizar a varredura de segurança estática do backend através da função assertSafeBackendBundle(). Isso permite que uma extensão maliciosa contendo um arquivo package.json com scripts de ciclo de vida preinstall, postinstall ou prepare alcance a execução de código no nível do host no momento em que um administrador inicia o processo de instalação, ocorrendo antes que qualquer arquivo de distribuição seja inspecionado.

Recommendations Atualizar para a versão 0.9.7.