CVE-2026-25244

Nome do Software Vulnerável e Versões Afetadas WebdriverIO versões anteriores a 9.24.0

Descrição Um problema de injeção de comando existe na orquestração de testes do WebdriverIO, especificamente no módulo @wdio/browserstack-service. A função getGitMetadataForAISelection() interpola nomes de branches do git diretamente em chamadas execSync() sem a sanitização adequada. Como o git permite que nomes de branches contenham metacaracteres de shell, um invasor pode fornecer um repositório malicioso — seja através da variável testOrchestrationOptions.runSmartSelection.source ou utilizando o diretório atual se essa variável não estiver definida — com um nome de branch contendo um payload. Isso permite a execução remota de código em máquinas de desenvolvedores e servidores de CI/CD, podendo levar à exfiltração de chaves SSH, código-fonte e credenciais, além de comprometimento do sistema e ataques à cadeia de suprimentos por meio de artefatos de build adulterados.

Recomendações Atualize para a versão 9.24.0. Como medida paliativa temporária, restrinja o acesso ao módulo @wdio/browserstack-service ou evite usar a variável testOrchestrationOptions.runSmartSelection.source com repositórios não confiáveis até que a atualização seja aplicada.