CVE-2026-36044

Nome do Software Vulnerável e Versões Afetadas @pensar/apex versões anteriores a 0.0.59

Descrição A injeção de comando de SO é possível através da ferramenta smart enumerate. A função createSmartEnumerateTool() em src/core/agent/tools.ts constrói um comando de shell concatenando valores não sanitizados do array extensions e do parâmetro url em uma string passada para o Node.js child process.exec(). Como o exec() inicia um shell, metacaracteres de shell nesses valores são interpretados pelo shell do host, permitindo a execução de comandos de SO arbitrários com os privilégios do processo em execução.

Recomendações Atualize o @pensar/apex para a versão 0.0.59 ou posterior. Como medida paliativa temporária, restrinja o acesso à função createSmartEnumerateTool() para minimizar o risco de exploração.