CVE-2025-54377

Nome do Software Vulnerável e Versões Afetadas Versões do Roo Code 3.23.18 e anteriores

Descrição O Roo Code, um agente de codificação autônomo baseado em IA, não valida quebras de linha ( ) em sua entrada de comandos. Isso contorna o mecanismo de lista de permissões (allow-list) devido à falta de lógica de análise ou validação, possibilitando potencialmente a injeção de comandos. Apenas a primeira linha ou token pode ser considerado durante a avaliação do comando, permitindo que invasores injetem comandos adicionais nas linhas subsequentes.

Recomendações Atualize para o Roo Code versão 3.23.19 ou posterior.