Aaronportnoy

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zed anteriores a 0.218.2-pre **Descrição** A IDE Zed é suscetível à execução arbitrária de código. A IDE carrega configurações do Protocolo de Servidor de Linguagem (LSP) a partir do arquivo `settings.json` dentro do subdiretório `.zed` de um projeto. Uma configuração LSP maliciosa pode conter comandos arbitrários de shell que são executados no sistema host com os privilégios do usuário que está executando a IDE. Isso pode ser acionado quando um usuário abre um arquivo de projeto com uma entrada LSP. Um atacante poderia potencialmente inserir configurações maliciosas de servidor de linguagem em um arquivo de configurações do projeto (`./zed/settings.json`), resultando na execução arbitrária de código com os privilégios do usuário quando o projeto é aberto no Zed sem verificação. **Recomendações** Versões anteriores a 0.218.2-pre devem ser atualizadas para a versão 0.218.2-pre ou posterior. Revise cuidadosamente o conteúdo dos arquivos de configurações do projeto (`./zed/settings.json`) antes de abrir novos projetos no Zed.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zed anteriores a 0.218.2-pre **Descrição** A IDE Zed está suscetível à execução arbitrária de código por meio de configurações do Model Context Protocol (MCP) criadas maliciosamente. Essas configurações, encontradas no arquivo `settings.json` dentro do subdiretório `.zed` de um projeto, podem conter comandos de shell arbitrários. Esses comandos são executados no sistema hospedeiro com os privilégios do usuário que está executando a IDE, podendo ser acionados automaticamente ao abrir um projeto. A vulnerabilidade decorre do carregamento das configurações do MCP pela IDE sem a devida validação. **Recomendações** Versões anteriores a 0.218.2-pre devem ser atualizadas para a versão 0.218.2-pre ou posterior. Revise cuidadosamente o conteúdo dos arquivos de configurações do projeto (`./zed/settings.json`) antes de abrir novos projetos no Zed.