# Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') (CWE-95)

The product receives input from an upstream component, but it does not neutralize code syntax before using the input in a dynamic evaluation call.

- Prevalence: Alta Sem regras do Shoulder
- Impact: Alto OWASP Top 10 #3
- Prevention: Ver MITRE Referência externa

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

When user input is passed to eval() or similar functions without sanitization, attackers can inject arbitrary code that will be executed with the application's privileges.

## Prevention

## Consequences

- Executar código não autorizado
- Ler dados da aplicação
- Modificar dados da aplicação

## Mitigations

- Evite usar eval() e funções similares de execução dinâmica de código
- Use alternativas mais seguras como JSON.parse() para análise de dados
- Se eval for necessário, use validação rigorosa de entrada e sandboxing