CVE-2026-44479

Nome do Software Vulnerável e Versões Afetadas Vercel CLI versões 50.16.0 até 52.0.0

Descrição Ao ser executado no modo não interativo (através da flag --non-interactive ou agente de IA detectado automaticamente), comandos que não conseguem ser concluídos autonomamente emitem payloads JSON com sugestões de comandos subsequentes. Se a autenticação foi realizada utilizando os argumentos de linha de comando --token ou -t, o valor do token é incluído em texto simples nessas sugestões. Isso pode fazer com que o token seja capturado em logs de CI/CD, transcrições de agentes ou outras saídas de automação. Este problema ocorre apenas quando o token é passado como um argumento de CLI; a variável de ambiente VERCEL TOKEN não é afetada.

Recomendações Atualize para a versão 52.0.1. Rotacione os tokens caso o --token tenha sido utilizado anteriormente com --non-interactive e os logs tenham sido expostos. Utilize a variável de ambiente VERCEL TOKEN para autenticação em vez de argumentos de linha de comando.