Pi · Pi · CVE-2026-54325
**Nome do Software Vulnerável e Versões Afetadas**
Pi versões anteriores a 0.79.0
**Description**
O Pi carregava configurações e recursos locais do projeto de um diretório `.pi` de um repositório, incluindo módulos executáveis TypeScript ou JavaScript conhecidos como extensões locais do projeto, sem exigir que o usuário confiasse no repositório. Como as extensões não são isoladas (sandboxed) e são executadas dentro do processo do Pi, um invasor que controlasse um repositório poderia executar código arbitrário com os mesmos privilégios do processo local do Pi se um usuário iniciasse o Pi a partir daquela árvore de trabalho. Isso permite o acesso a arquivos, variáveis de ambiente, credenciais, rede e ferramentas locais disponíveis para o usuário. O problema reside no caminho de carregamento de recursos do projeto, onde o arquivo `.pi/settings.json`, recursos auto-descobertos, recursos gerenciados por pacotes e arquivos de instrução do projeto eram carregados durante a inicialização da sessão antes que um limite de confiança fosse estabelecido.
**Recommendations**
Atualize o Pi para a versão 0.79.0 ou posterior.
Como alternativa temporária, evite executar o Pi em repositórios não confiáveis ou use um sandbox de sistema operacional externo, container ou VM para isolar o ambiente de execução.
Inspecione e remova configurações e recursos locais do Pi, especificamente extensões locais do projeto e configurações de pacotes, antes do uso em repositórios não confiáveis.