Execução De Código

O Lite XL, um editor de texto leve amplamente utilizado por desenvolvedores, apresenta duas vulnerabilidades críticas que podem permitir a execução de código arbitrário em sistemas afetados. As falhas foram divulgadas em 11 de novembro de 2025 e afetam todas as versões anteriores à 2.1.8. A primeira vulnerabilidade, identificada como CVE-2025-12120, permite a execução automática de arquivos .lite_project.lua sem a confirmação do usuário, o que significa que abrir um projeto malicioso pode executar código não confiável com os mesmos privilégios do editor. A segunda falha, CVE-2025-12121, está relacionada à função legada system.exec, que constrói comandos de shell sem a devida sanitização, permitindo a execução de comandos arbitrários. Ambas as vulnerabilidades representam riscos significativos para desenvolvedores que trabalham com códigos não confiáveis, pois um ator malicioso pode injetar código em repositórios de código aberto ou enviar arquivos de projeto manipulados. Os usuários são aconselhados a atualizar imediatamente para versões que incluam correções de segurança, que implementam medidas de proteção e removem funções inseguras.

Uma falha crítica de segurança foi identificada no Apache Jackrabbit, um sistema de repositório de conteúdo baseado em Java, que pode colocar milhares de aplicações empresariais em risco de execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2025-58782, afeta os componentes Apache Jackrabbit Core e JCR Commons, sendo classificada como importante. O problema decorre da desserialização insegura de dados não confiáveis por meio de buscas de repositório baseadas em JNDI, permitindo que atacantes executem código arbitrário em sistemas vulneráveis.