js · @openzeppelin/wizardAtenção
@openzeppelin/wizard: injeção de código via securityContact e license
Os geradores do Contracts Wizard imprimiam `info.
O que mudou
Os geradores do Contracts Wizard imprimiam `info.securityContact` e `info.license` literalmente em um comentário de linha única sem rejeitar terminadores de linha, permitindo a injeção de declarações arbitrárias em contratos gerados.
Quem isso afeta
Integrações que preenchem esses campos a partir de entrada não confiável (ex.: agentes MCP). Uso normal de autoatendimento (web app, assistente de IA, CLI, API auto-hospedada) não é afetado.
O que fazer hoje
Atualize `@openzeppelin/wizard` para a versão corrigida que rejeita terminadores de linha em `setInfo`.
A esteira
Coletado→
Auditado→
Redigido→
Publicado