js · agentic-flowCrítico
agentic-flow: correção de injeção de comando em ferramentas MCP
Nas versões <= 2.0.13 do agentic-flow, parâmetros de ferramentas MCP controlados por atacante eram interpolados em comandos shell passados para execSync(). A ve
O que mudou
Nas versões <= 2.0.13 do agentic-flow, parâmetros de ferramentas MCP controlados por atacante eram interpolados em comandos shell passados para execSync(). A versão 2.0.14 corrige usando execFileSync com shell: false.
Quem isso afeta
Todos os usuários de agentic-flow <= 2.0.13 e pacotes downstream ruflo, claude-flow, @claude-flow/cli anteriores às versões corrigidas (3.12.4).
O que fazer hoje
Atualize agentic-flow para >= 2.0.14. Se usar pacotes downstream, atualize ruflo para >= 3.12.4, claude-flow para >= 3.12.4 ou @claude-flow/cli para >= 3.12.4.
A esteira
Coletado→
Auditado→
Redigido→
Publicado