CVE-2025-24959

Nome do Software Vulnerável e Versões Afetadas: Versões do zx anteriores a 8.3.2

Descrição: Um atacante com controle sobre os valores das variáveis de ambiente pode injetar variáveis de ambiente não intencionais em process.env. Isso pode levar à execução arbitrária de comandos ou a comportamento inesperado em aplicações que dependem de variáveis de ambiente para operações sensíveis à segurança. Aplicações que processam entrada não confiável e a passam por dotenv.stringify são particularmente vulneráveis.

Recomendações: Para versões anteriores a 8.3.2, atualize para a versão 8.3.2 para mitigar a vulnerabilidade. Se a atualização não for viável, faça a sanitização dos valores das variáveis de ambiente controlados pelo usuário antes de passá-los para dotenv.stringify. Especificamente, evite usar , , e backticks nos valores, ou imponha validação estrita das variáveis de ambiente antes do uso.