Vulnerabilidad en WebKit en Apple Safari (CVE-2026-25046)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

29/01/2026

Última modificación:

04/02/2026

Descripción

Kimi Agent SDK es un conjunto de librerías que exponen el tiempo de ejecución del agente Kimi Code (Kimi CLI) en aplicaciones. Los scripts vsix-publish.js y ovsx-publish.js pasan nombres de archivo a execSync() como cadenas de comandos de shell. Antes de la versión 0.1.6, los nombres de archivo que contenían metacaracteres de shell como $(cmd) podían ejecutar comandos arbitrarios. Nota: Esta vulnerabilidad existe solo en los scripts de desarrollo del repositorio. La extensión de VSCode publicada no incluye estos archivos y los usuarios finales no se ven afectados. Esto se corrige en la versión 0.1.6 reemplazando execSync por execFileSync usando argumentos de matriz. Como solución alternativa, asegúrese de que los archivos .vsix en el directorio del proyecto tengan nombres de archivo seguros antes de ejecutar los scripts de publicación.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.90 BAJA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

2.90

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://github.com/MoonshotAI/kimi-agent-sdk/security/advisories/GHSA-mv58-gxx5-8hj3