cdxgen: comando arbitrário via injeção em nomes de diretório Maven (CVE pendente)

Uma vulnerabilidade de injeção de comando no cdxgen anterior à versão 12.4.3 permitia que metacaracteres de shell em nomes de diretório de projetos Maven fossem interpretados pelo shell, possibilitando execução arbitrária de comandos. Corrigido na versão 12.4.3.

Usuários de cdxgen anteriores a 12.4.3 que escaneiam repositórios Maven não confiáveis, especialmente aqueles executando modo servidor com o endpoint POST /sbom exposto.

Atualize para cdxgen versão 12.4.3 ou superior. Se não for possível atualizar imediatamente, aplique as soluções alternativas: não exponha o modo servidor a redes não confiáveis, evite escanear repositórios Java/Maven não confiáveis, execute cdxgen em ambiente isolado e configure listas de permissão (CDXGEN_SERVER_ALLOWED_HOSTS, CDXGEN_GIT_ALLOWED_HOSTS, CDXGEN_ALLOWED_COMMANDS, CDXGEN_SECURE_MODE=true).