CVE-2026-54327

Nome do Software Vulnerável e Versões Afetadas @mariozechner/pi-coding-agent versões 0.28.0 a 0.73.1 @earendil-works/pi-coding-agent versões 0.74.0 a 0.78.0

Description Uma condição de corrida (race condition) no caminho de gravação de arquivos da implementação de armazenamento de credenciais permite que o arquivo auth.json, que armazena chaves de API e tokens de acesso e atualização OAuth, seja criado ou reescrito com permissões derivadas do umask do processo antes de ser restringido apenas ao proprietário. Um usuário local com acesso de leitura e travessia ao diretório de configuração do agente Pi poderia potencialmente ler o arquivo durante o intervalo entre a gravação do arquivo e a correção das permissões. Este problema não é explorável remotamente e requer acesso local à máquina.

Recommendations Atualizar @mariozechner/pi-coding-agent para @earendil-works/pi-coding-agent versão 0.78.1 ou posterior. Atualizar @earendil-works/pi-coding-agent para a versão 0.78.1 ou posterior. Rotacionar quaisquer credenciais que possam ter sido expostas em sistemas multiusuário onde o diretório de configuração era legível por outros usuários locais. Restringir o diretório de configuração do agente Pi apenas ao usuário proprietário, definir permissões de apenas proprietário para o arquivo auth.json e executar a aplicação com um umask restritivo, como 077, como medida paliativa temporária.