CVE-2026-54328

Nome do Software Vulnerável e Versões Afetadas @earendil-works/pi-coding-agent versões 0.74.0 a 0.78.0 @mariozechner/pi-coding-agent versões 0.50.0 a 0.73.1

Description Pi é um harness de codificação de terminal minimalista que utilizava caminhos previsíveis no diretório temporário do sistema operacional para instalações temporárias de pacotes de extensão npm ou git. Em sistemas multiusuário baseados em Linux com diretórios temporários compartilhados, um invasor local poderia pré-criar o local do pacote esperado. Quando uma vítima executa o Pi com uma fonte de pacote de extensão temporária usando as flags --extension ou -e, o software pode carregar código de extensão controlado pelo invasor no processo do usuário vítima. Isso ocorre porque a raiz de instalação temporária do npm e os caminhos de clone do git eram determinísticos e baseados em os.tmpdir()/pi-extensions. Como as extensões são executadas com os mesmos privilégios do processo invocador, isso pode levar à execução de código arbitrário, perda de dados ou negação de serviço. Este problema afeta principalmente ambientes compartilhados, como runners de CI, nós de login de HPC e máquinas de desenvolvimento compartilhadas.

Recommendations Atualize o @earendil-works/pi-coding-agent para a versão 0.78.1 ou posterior. Migre o @mariozechner/pi-coding-agent para o @earendil-works/pi-coding-agent versão 0.78.1 ou posterior. Como solução temporária, evite usar as flags --extension ou -e com fontes de pacotes npm ou git em sistemas Linux compartilhados. Como mitigação adicional, configure o ambiente de diretório temporário do processo para apontar para um diretório de propriedade do usuário invocador com permissões 0700 antes de iniciar a aplicação.