CVE-2025-68429

Nome do Software Vulnerável e Versões Afetadas Versões do Storybook anteriores a 7.6.21 Versões do Storybook anteriores a 8.6.15 Versões do Storybook anteriores a 9.1.17 Versões do Storybook anteriores a 10.1.10

Descrição O tratamento das variáveis de ambiente definidas em um arquivo .env pelo Storybook pode, em certas situações, resultar na inclusão dessas variáveis nos artefatos criados pelo comando storybook build. Quando um Storybook compilado é publicado na web, o código-fonte do bundle fica acessível, potencialmente expondo essas variáveis. Um projeto está potencialmente afetado se compilar o Storybook com um arquivo .env (incluindo .env.local) no diretório de build e publicar o Storybook compilado na web. Storybooks compilados sem um arquivo .env no momento do build não são afetados. Ambientes de execução do Storybook (por exemplo, storybook dev) não são afetados, e aplicações implantadas que compartilham um repositório com o Storybook também não são afetadas. Para mitigar isso, os usuários devem atualizar seu Storybook e auditar em busca de segredos sensíveis fornecidos via arquivos .env, rotacionando essas chaves conforme necessário. Se os valores das variáveis de ambiente não estiverem mais legíveis após a atualização, prefixe as variáveis com STORYBOOK ou use a propriedade env na configuração do Storybook para especificar manualmente os valores.

Recomendações Atualize o Storybook para a versão 7.6.21 ou posterior. Atualize o Storybook para a versão 8.6.15 ou posterior. Atualize o Storybook para a versão 9.1.17 ou posterior. Atualize o Storybook para a versão 10.1.10 ou posterior. Audite em busca de quaisquer segredos sensíveis fornecidos via arquivos .env e rotacione essas chaves. Se necessário, prefixe as variáveis de ambiente com STORYBOOK . Alternativamente, use a propriedade env na configuração do Storybook para especificar manualmente os valores das variáveis de ambiente.