CVE-2026-48721
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Warp to środowisko deweloperskie, które zawiera lukę umożliwiającą obejście sprawdzania uprawnień do wykonywania poleceń w domyślnym profilu CLI bez piaskownicy. Luka ta pozwala atakującemu na traktowanie poleceń z listy zakazanej jako dozwolonych.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane wykonanie poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację Warp do wersji 0.2026.05.06.15.42.stable_01, aby usunąć tę lukę oraz przegląd zabezpieczeń w celu oceny potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
Warp is an agentic development environment. From 0.2025.10.08.08.12.stable_00 until 0.2026.05.06.15.42.stable_01, Warp contains a command execution permission-check bypass in the default unsandboxed CLI agent profile. The CLI profile is non-interactive and relies on a command denylist as a safety boundary for commands that should require confirmation. Because command strings were checked before canonicalizing leading environment-variable assignments, an attacker who can influence the agent's command output may cause denylisted commands to be treated as non-denylisted. This vulnerability is fixed in 0.2026.05.06.15.42.stable_01.

