CVE-2026-5556: Injeção de Código em pi-mono (0.58.0–0.58.4)
Plataforma
nodejs
Componente
pi-mono
A vulnerabilidade CVE-2026-5556 é uma falha de injeção de código identificada na biblioteca pi-mono, especificamente na função discoverAndLoadExtensions do arquivo packages/coding-agent/src/core/extensions/loader.ts. A exploração bem-sucedida permite a execução remota de código, representando um risco significativo para sistemas vulneráveis. Essa falha afeta as versões 0.58.0 até 0.58.4 da biblioteca, e a correção ainda não foi disponibilizada pelo fornecedor.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é o CVE-2026-5556?
É uma vulnerabilidade de injeção de código na biblioteca pi-mono, que permite a execução de código malicioso em sistemas que utilizam versões 0.58.0 a 0.58.4. A falha reside na função discoverAndLoadExtensions, onde a manipulação de dados pode levar à injeção de código.
Estou afetado por esta vulnerabilidade?
Se você estiver utilizando a biblioteca pi-mono nas versões 0.58.0, 0.58.1, 0.58.2, 0.58.3 ou 0.58.4, você é potencialmente afetado por esta vulnerabilidade. A exploração é remota e o exploit foi divulgado publicamente.
Como posso corrigir ou mitigar esta vulnerabilidade?
Atualmente, não há um patch oficial disponível para corrigir esta vulnerabilidade. Recomenda-se monitorar as atualizações do fornecedor e considerar a substituição da biblioteca por uma versão segura, se possível, até que uma correção seja lançada.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis