Maccarita

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cursor 1.6 e anteriores **Descrição** O Cursor, um editor de código desenvolvido para programação com IA, é suscetível a ataques de Execução Remota de Código (RCE) através de Workspaces do Visual Studio Code. Os Workspaces permitem aos usuários abrir várias pastas e salvar configurações específicas. Um atacante que consiga sequestrar o contexto do chat de uma vítima pode utilizar injeção de prompt para modificar arquivos do workspace, contornando uma medida de segurança anterior e resultando em RCE ao escrever na seção de configurações. **Recomendações** Atualize para a versão 1.7 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cursor 1.6 e inferiores **Descrição** O Cursor, um editor de código para programação com IA, possui uma vulnerabilidade na qual o Mermaid, utilizado para renderizar diagramas, permite a incorporação de imagens. Isso pode ser explorado para exfiltrar informações sensíveis para um servidor controlado por um atacante externo através de um `image fetch`, após uma injeção de prompt bem-sucedida. Um modelo malicioso ou backdoor também poderia desencadear essa exploração. A vulnerabilidade requer uma injeção de prompt proveniente de dados maliciosos, como conteúdo web, uploads de imagens ou código fonte, para ser explorada com sucesso. O mecanismo de `image fetch` é utilizado para transmitir dados para um servidor externo controlado pelo atacante. **Recomendações** Atualize para a versão 1.7 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Roo Code anteriores à 3.25.5 Descrição: O Roo Code, um agente de codificação autônomo alimentado por IA, não processa corretamente a substituição de processo e caracteres de E comercial (&) únicos dentro de sua lógica de análise de comandos para comandos de execução automática. Se um usuário tiver habilitado a execução autoaprovada para um comando, um atacante que possa enviar prompts manipulados ao agente pode injetar comandos arbitrários para serem executados juntamente com o comando pretendido. A exploração requer que o atacante tenha acesso para enviar prompts e que o usuário tenha habilitado a execução de comandos autoaprovada, a qual é desativada por padrão. Isso poderia permitir que um atacante executasse código arbitrário. Recomendações: Atualize para a versão 3.25.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zed anteriores à 0.197.3 **Descrição** O Zed é um editor de código colaborativo. Em versões anteriores à 0.197.3, o Painel do Agente do Zed permitia que um agente de IA realizasse Execução Remota de Código (RCE) ao contornar as verificações de permissão do usuário. Um Agente de IA poderia explorar uma falha de contorno de permissões para criar ou modificar um arquivo de configuração específico do projeto, resultando na execução de comandos arbitrários na máquina da vítima sem a aprovação necessária. A vulnerabilidade está presente no Painel do Agente do Zed e envolve o contorno das verificações de permissão do usuário. O componente vulnerável permite que um agente de IA crie ou modifique arquivos de configuração específicos do projeto. Isso pode levar à execução de comandos arbitrários na máquina da vítima. O `Painel do Agente do Zed` é o endpoint de API afetado. **Recomendações** As versões anteriores à 0.197.3 devem ser atualizadas para a versão 0.197.3 ou posterior. Evite enviar prompts para o Painel do Agente. Limite o acesso do Agente de IA ao sistema de arquivos.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cursor anteriores à 1.3.9 **Descrição** O Cursor, um editor de código desenvolvido para programação com IA, permite a escrita em arquivos do workspace sem aprovação do usuário nas versões afetadas. Especificamente, criar novos dotfiles não requer aprovação, enquanto editar os existentes requer. Isso permite que um atacante encadeie uma vulnerabilidade de injeção de prompt indireta para sequestrar o contexto e escrever em arquivos sensíveis do editor, como o arquivo `.vscode/settings.json`, potencialmente desencadeando Execução Remota de Código (RCE) na máquina da vítima sem aprovação do usuário. **Recomendações** Atualize para a versão 1.3.9 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Roo Code 3.23.18 e anteriores **Descrição** O Roo Code, um agente de codificação autônomo baseado em IA, não valida quebras de linha (` `) em sua entrada de comandos. Isso contorna o mecanismo de lista de permissões (allow-list) devido à falta de lógica de análise ou validação, possibilitando potencialmente a injeção de comandos. Apenas a primeira linha ou token pode ser considerado durante a avaliação do comando, permitindo que invasores injetem comandos adicionais nas linhas subsequentes. **Recomendações** Atualize para o Roo Code versão 3.23.19 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Roo Code anteriores à 3.22.6 Descrição: O Roo Code é um agente de codificação autônomo alimentado por IA. Se a vítima tivesse a aprovação automática de "Write" ativada, um atacante com a capacidade de enviar prompts ao agente poderia escrever em arquivos de configuração do VS Code e disparar a execução de código. Um exemplo é com a configuração `php.validate.executablePath`, que permite definir o caminho para o executável php para validação de sintaxe. O atacante poderia escrever o caminho para um comando arbitrário nesse local e, em seguida, criar um arquivo php para acioná-lo. Recomendações: Para versões anteriores à 3.22.6, atualize para a versão 3.22.6 para resolver o problema. Como solução temporária, considere desativar o recurso de aprovação automática de "Write" até que a atualização seja aplicada. Restrinja o acesso à configuração `php.validate.executablePath` para minimizar o risco de exploração. Evite usar a configuração `php.validate.executablePath` em arquivos de configuração do VS Code até que o problema seja resolvido.

Name of the Vulnerable Software and Affected Versions: Roo Code versions prior to 3.20.3 Description: The issue concerns the execution of arbitrary commands through the MCP configuration file. An attacker with access to the system could craft a prompt to write a malicious command to the MCP configuration file, potentially leading to arbitrary command execution. This requires the attacker to have the ability to submit prompts, for the user to have MCP enabled, and for the user to have enabled auto-approved file writes. The issue is considered moderate in severity. Recommendations: For versions prior to 3.20.3, update to version 3.20.3 to fix the issue by adding an additional layer of opt-in configuration for auto-approving writing to Roo's configuration files. As a temporary workaround, consider disabling the auto-approve file writes feature to minimize the risk of exploitation. Restrict access to the `.roo/` folder and its contents to prevent unauthorized modifications.

Nome do Software Vulnerável e Versões Afetadas: Versões do Roo Code anteriores à 3.20.3 Descrição: O problema diz respeito à ferramenta `search files` do agente Roo Code, que não respeitava a configuração para desativar leituras fora do workspace do VS Code. Isso permitiu que um atacante, capaz de injetar um prompt no agente, potencialmente lesse um arquivo sensível e escrevesse a informação em um esquema JSON. O recurso para buscar esquemas está habilitado por padrão no VS Code, e escrever no esquema acionaria uma requisição de rede sem intervenção do usuário. O problema é de severidade moderada, exigindo que o atacante já seja capaz de enviar prompts ao agente. Recomendações: Para versões anteriores à 3.20.3, atualize para a versão 3.20.3 para resolver o problema onde a ferramenta `search files` não respeitava a configuração para limitá-la ao workspace. Como solução temporária, considere desativar a ferramenta `search files` ou o recurso de busca de esquemas no VS Code para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Cursor anteriores a 0.51.0 **Descrição** A vulnerabilidade permite que um atacante dispare uma solicitação HTTP GET arbitrária sem confirmação do usuário ao escrever um arquivo JSON. Isso poderia potencialmente ser usado para exfiltrar dados caso um agente malicioso obtenha acesso, por exemplo, após um ataque de injeção de prompt bem-sucedido. A causa raiz é a configuração `json.schemaDownload.enable` estar definida como True por padrão antes da versão 0.51.0. **Recomendações** Para versões anteriores a 0.51.0, atualize para a versão 0.51.0 para resolver o problema. Como solução temporária, considere definir a configuração `json.schemaDownload.enable` como False para impedir solicitações HTTP GET arbitrárias.