CVE-2026-54325
ŚrednieCVSS 4.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Pi to minimalny zestaw narzędzi do kodowania w terminalu. W wersjach przed 0.79.0, Pi ładował lokalne zasoby i konfiguracje projektu z katalogu .pi w repozytorium bez pytania użytkownika o zaufanie do tego repozytorium, co mogło prowadzić do uruchomienia złośliwego kodu.
Ocena ryzyka
Atakujący kontrolujący repozytorium mógł umieścić złośliwe zasoby, które byłyby uruchamiane z tymi samymi uprawnieniami co proces Pi, co stwarza ryzyko wykonania nieautoryzowanego kodu.
Rekomendacja
Zaleca się aktualizację do wersji 0.79.0 lub nowszej, aby zlikwidować tę podatność oraz wprowadzenie dodatkowych środków ostrożności przy korzystaniu z zewnętrznych repozytoriów.
Oryginalny opis (angielski, źródło NVD)
Pi is a minimal terminal coding harness. Pi before 0.79.0 loaded project-local configuration and resources from a repository's .pi directory without first asking the user to trust that repository. This included project-local extensions, which are executable TypeScript or JavaScript modules loaded into the Pi process. An attacker who controls a repository could place Pi-specific project resources in that repository. If a user then started Pi from that working tree, the project-local extension code could run with the same privileges as the local Pi process without the user having a convenient way to make a trust decision. This vulnerability is fixed in 0.79.0.

