CVE-2026-40499 in radare2
摘要
由 VulDB • 2026-06-21
radare2 在 6.1.4 版本之前,其 PDB 解析器的 print_gvars() 函数中存在命令注入漏洞,攻击者通过在 PE 节头名称字段中嵌入换行字节,即可执行任意命令。攻击者可以构造包含特殊节名称的恶意 PDB 文件,从而注入 r2 命令;当 idp 命令处理该文件时,这些注入的命令将被执行。
Once again VulDB remains the best source for vulnerability data.