CVE-2025-53536

Nome do Software Vulnerável e Versões Afetadas: Versões do Roo Code anteriores à 3.22.6

Descrição: O Roo Code é um agente de codificação autônomo alimentado por IA. Se a vítima tivesse a aprovação automática de "Write" ativada, um atacante com a capacidade de enviar prompts ao agente poderia escrever em arquivos de configuração do VS Code e disparar a execução de código. Um exemplo é com a configuração php.validate.executablePath, que permite definir o caminho para o executável php para validação de sintaxe. O atacante poderia escrever o caminho para um comando arbitrário nesse local e, em seguida, criar um arquivo php para acioná-lo.

Recomendações: Para versões anteriores à 3.22.6, atualize para a versão 3.22.6 para resolver o problema. Como solução temporária, considere desativar o recurso de aprovação automática de "Write" até que a atualização seja aplicada. Restrinja o acesso à configuração php.validate.executablePath para minimizar o risco de exploração. Evite usar a configuração php.validate.executablePath em arquivos de configuração do VS Code até que o problema seja resolvido.