Matt G

**Nome do Software Vulnerável e Versões Afetadas** Versões do Storybook anteriores a 7.6.21 Versões do Storybook anteriores a 8.6.15 Versões do Storybook anteriores a 9.1.17 Versões do Storybook anteriores a 10.1.10 **Descrição** O tratamento das variáveis de ambiente definidas em um arquivo `.env` pelo Storybook pode, em certas situações, resultar na inclusão dessas variáveis nos artefatos criados pelo comando `storybook build`. Quando um Storybook compilado é publicado na web, o código-fonte do bundle fica acessível, potencialmente expondo essas variáveis. Um projeto está potencialmente afetado se compilar o Storybook com um arquivo `.env` (incluindo `.env.local`) no diretório de build e publicar o Storybook compilado na web. Storybooks compilados sem um arquivo `.env` no momento do build não são afetados. Ambientes de execução do Storybook (por exemplo, `storybook dev`) não são afetados, e aplicações implantadas que compartilham um repositório com o Storybook também não são afetadas. Para mitigar isso, os usuários devem atualizar seu Storybook e auditar em busca de segredos sensíveis fornecidos via arquivos `.env`, rotacionando essas chaves conforme necessário. Se os valores das variáveis de ambiente não estiverem mais legíveis após a atualização, prefixe as variáveis com `STORYBOOK ` ou use a propriedade `env` na configuração do Storybook para especificar manualmente os valores. **Recomendações** Atualize o Storybook para a versão 7.6.21 ou posterior. Atualize o Storybook para a versão 8.6.15 ou posterior. Atualize o Storybook para a versão 9.1.17 ou posterior. Atualize o Storybook para a versão 10.1.10 ou posterior. Audite em busca de quaisquer segredos sensíveis fornecidos via arquivos `.env` e rotacione essas chaves. Se necessário, prefixe as variáveis de ambiente com `STORYBOOK `. Alternativamente, use a propriedade `env` na configuração do Storybook para especificar manualmente os valores das variáveis de ambiente.