CVE-2025-68432

Nome do Software Vulnerável e Versões Afetadas Versões do Zed anteriores a 0.218.2-pre

Descrição A IDE Zed é suscetível à execução arbitrária de código. A IDE carrega configurações do Protocolo de Servidor de Linguagem (LSP) a partir do arquivo settings.json dentro do subdiretório .zed de um projeto. Uma configuração LSP maliciosa pode conter comandos arbitrários de shell que são executados no sistema host com os privilégios do usuário que está executando a IDE. Isso pode ser acionado quando um usuário abre um arquivo de projeto com uma entrada LSP. Um atacante poderia potencialmente inserir configurações maliciosas de servidor de linguagem em um arquivo de configurações do projeto (./zed/settings.json), resultando na execução arbitrária de código com os privilégios do usuário quando o projeto é aberto no Zed sem verificação.

Recomendações Versões anteriores a 0.218.2-pre devem ser atualizadas para a versão 0.218.2-pre ou posterior. Revise cuidadosamente o conteúdo dos arquivos de configurações do projeto (./zed/settings.json) antes de abrir novos projetos no Zed.