Vulnerabilidad en Liquid Prompt (CVE-2026-27113)

Liquid Prompt es un *prompt* adaptativo para Bash y Zsh. A partir del *commit* cf3441250bb5d8b45f6f8b389fcdf427a99ac28a y antes del *commit* a4f6b8d8c90b3eaa33d13dfd1093062ab9c4b30c en la rama *master*, la inyección de comandos arbitraria puede llevar a la ejecución de código cuando un usuario entra en un directorio de un repositorio Git que contiene un nombre de rama manipulado. La explotación requiere que la opción de configuración LP_ENABLE_GITSTATUSD esté habilitada (habilitada por defecto), que *gitstatusd* esté instalado e iniciado antes de que se cargue Liquid Prompt (no es el valor por defecto), y que la sustitución del *prompt* de la *shell* esté activa (habilitada por defecto en Bash a través de 'shopt -s promptvars', no habilitada por defecto en Zsh). Un nombre de rama que contenga sintaxis de *shell* como '$(...)' o expresiones de *backtick* en la rama por defecto o en una rama extraída será evaluado por la *shell* cuando se renderice el *prompt*. Ninguna versión estable está afectada; solo la rama *master* contiene el *commit* vulnerable. El *commit* a4f6b8d8c90b3eaa33d13dfd1093062ab9c4b30c contiene una corrección. Como solución alternativa, establezca la opción de configuración LP_ENABLE_GITSTATUSD en 0.