Vulnerabilidad en Zed (CVE-2025-55012)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

11/08/2025

Última modificación:

12/08/2025

Descripción

Zed es un editor de código multijugador. Antes de la versión 0.197.3, el Panel de Agente de Zed permitía que un agente de IA lograra la Ejecución Remota de Código (RCE) omitiendo las comprobaciones de permisos del usuario. Un agente de IA podría haber explotado una vulnerabilidad de evasión de permisos para crear o modificar un archivo de configuración específico del proyecto, lo que provocó la ejecución de comandos arbitrarios en el equipo de la víctima sin la aprobación explícita que de otro modo se requeriría. Esta vulnerabilidad se ha corregido en la versión 0.197.3. Una solución alternativa a este problema consiste en evitar el envío de solicitudes al Panel de Agente o limitar el acceso del agente de IA al sistema de archivos.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.50

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/zed-industries/zed/security/advisories/GHSA-x34m-39xw-g2wr