PT-2026-41570 · Vercel · Vercel Ai
Eric-D
·
Publicado
2026-05-17
·
Atualizado
2026-05-18
·
CVE-2026-8767
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
vercel ai versões anteriores a 3.0.98
Descrição
Um problema de injeção de comando de SO existe no componente PR Branch Name Interpolation. A falha está localizada na função
run() do arquivo .github/workflows/prettier-on-automerge.yml. Isso permite que um invasor remoto execute comandos arbitrários do sistema operacional, embora a complexidade do ataque seja alta e a explorabilidade seja considerada difícil.Recomendações
Atualize para uma versão posterior a 3.0.97.
Como medida paliativa temporária, restrinja o acesso ou desative a função
run() no arquivo .github/workflows/prettier-on-automerge.yml.Exploit
Correção
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vercel Ai