CVE-2025-68433

Nome do Software Vulnerável e Versões Afetadas Versões do Zed anteriores a 0.218.2-pre

Descrição A IDE Zed está suscetível à execução arbitrária de código por meio de configurações do Model Context Protocol (MCP) criadas maliciosamente. Essas configurações, encontradas no arquivo settings.json dentro do subdiretório .zed de um projeto, podem conter comandos de shell arbitrários. Esses comandos são executados no sistema hospedeiro com os privilégios do usuário que está executando a IDE, podendo ser acionados automaticamente ao abrir um projeto. A vulnerabilidade decorre do carregamento das configurações do MCP pela IDE sem a devida validação.

Recomendações Versões anteriores a 0.218.2-pre devem ser atualizadas para a versão 0.218.2-pre ou posterior. Revise cuidadosamente o conteúdo dos arquivos de configurações do projeto (./zed/settings.json) antes de abrir novos projetos no Zed.