CVE-2026-44479
ŚrednieCVSS 5.5Streszczenie
Podatność w Vercel AI Cloud występuje w wersjach od 50.16.0 do 52.0.0, gdzie w trybie nieinteraktywnym CLI Vercel emituje sugestie dotyczące dalszych działań, które zawierają tokeny uwierzytelniające użytkownika. Tokeny te mogą być przechwycone w logach CI/CD lub innych wynikach automatyzacji.
Ocena ryzyka
Zagrożenie polega na ujawnieniu tokenów uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do zasobów organizacji. Przechwycone tokeny mogą być wykorzystane przez atakujących do przejęcia kontroli nad aplikacjami.
Rekomendacja
Zaleca się aktualizację Vercel AI Cloud do wersji 52.0.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować logi CI/CD w celu wykrycia ewentualnych ujawnionych tokenów.
Oryginalny opis (angielski, źródło NVD)
Vercel’s AI Cloud is a unified platform for building modern applications. From 50.16.0 to 52.0.0, hen the Vercel CLI runs in non-interactive mode (--non-interactive or auto-detected AI agent), commands that cannot complete autonomously emit JSON payloads with suggested follow-up commands. If the user authenticated via --token or -t on the command line, the token value is included verbatim in those suggestions. The plaintext token may be captured in CI/CD logs, agent transcripts, or other automation output. This vulnerability is fixed in 52.0.1.

