CVE-2025-58371

Nome do Software Vulnerável e Versões Afetadas Versões do Roo Code 3.26.6 e inferiores

Descrição O Roo Code é um agente de codificação autônomo alimentado por IA. Um workflow do GitHub utilizou metadados de pull request não sanitizados em um contexto privilegiado, permitindo que um invasor obtivesse Execução Remota de Código (RCE) no runner do Actions. O workflow é executado com permissões amplas e acesso aos segredos do repositório. Um invasor poderia executar comandos arbitrários no runner, modificar código no repositório, acessar segredos e criar releases ou pacotes maliciosos, resultando em um comprometimento completo do repositório e de seus serviços associados.

Recomendações Atualize o Roo Code para a versão 3.26.7.