CVE-2026-45311

Nome do Software Vulnerável e Versões Afetadas CodeWhale versões 0.3.0 a 0.8.22

Descrição A ferramenta run tests executa o comando cargo test no workspace com ApprovalRequirement::Auto, permitindo que seja executado sem a aprovação do usuário. Como o cargo test compila e executa código arbitrário — incluindo binários de teste, scripts de build build.rs e proc macros — um repositório malicioso pode executar comandos de shell arbitrários, exfiltrar credenciais ou estabelecer persistência. Esse risco é ampliado pelo arquivo AGENTS.md, que é carregado automaticamente no prompt do sistema e pode ser usado para instruir o modelo a executar testes proativamente no início de uma sessão.

Recomendações Atualize para a versão 0.8.23. Como medida paliativa temporária, restrinja o uso da ferramenta run tests ao trabalhar com repositórios não confiáveis.