https://brdefense.center/tags/execu%C3%A7%C3%A3o-de-c%C3%B3digo-arbitr%C3%A1rio/Recent content in Execução De Código Arbitrário on BR Defense CenterHugopt-brWed, 22 Apr 2026 07:54:29 -0300https://brdefense.center/news/vulnerabilidade-critica-no-terrarium-permite-execu/Wed, 22 Apr 2026 07:54:29 -0300https://brdefense.center/news/vulnerabilidade-critica-no-terrarium-permite-execu/<p>Uma vulnerabilidade crítica foi identificada no Terrarium, um sandbox baseado em Python, que pode permitir a execução de código arbitrário. Classificada como CVE-2026-5752, a falha recebeu uma pontuação de 9.3 no sistema CVSS, indicando seu alto risco. A vulnerabilidade se origina de uma exploração na cadeia de protótipos do JavaScript no ambiente WebAssembly do Pyodide, que possibilita a execução de comandos do sistema com privilégios de root no processo Node.js host. Isso pode permitir que atacantes escapem do sandbox e acessem arquivos sensíveis, como &lsquo;/etc/passwd&rsquo;, além de potencialmente escalar privilégios e comprometer outros serviços na rede do container. Embora a exploração exija acesso local ao sistema, não requer interação do usuário ou privilégios especiais. O pesquisador de segurança Jeremy Brown descobriu e relatou a falha, e como o projeto não está mais sendo mantido, é improvável que um patch seja disponibilizado. O CERT/CC recomenda que os usuários desativem recursos que permitam o envio de código ao sandbox, segmentem a rede e implementem um firewall de aplicação web para detectar tráfego suspeito. A falha destaca a inadequação do sandbox em prevenir o acesso a protótipos de objetos globais, comprometendo a segurança esperada.</p>