ADR-013: Wrangler CVE — Risco Aceito (Dev Tooling Only)
ADR-013: Wrangler CVE — Risco Aceito (Dev Tooling Only)
Section titled “ADR-013: Wrangler CVE — Risco Aceito (Dev Tooling Only)”Status: Accepted (Risco Aceito — Ferramenta de Desenvolvimento)
Data: 2026-05-26
Decisor: Engineering
Contexto
Section titled “Contexto”wrangler 3.107.0 apresenta CVE de OS Command Injection em versões >= 2.0.15 < 3.114.17.
Status de upgrade: Versão ^3.114.17 especificada no package.json de apps/api-gateway. O install está pendente por limitação de ambiente (OneDrive sync bloqueia rename de binários nativos workerd).
Análise de Impacto
Section titled “Análise de Impacto”wrangler é uma ferramenta de desenvolvimento/deploy, não um componente do runtime de produção:
- Usado em:
wrangler dev(local),wrangler deploy(CI/CD) - NÃO está no path de execução da API em produção
- O Cloudflare Workers runtime (production) usa
workerddiretamente — nãowrangler - A vulnerabilidade requer que um atacante controle argumentos passados ao CLI
Superfície de ataque: pipelines CI/CD e máquinas de desenvolvedor. Não afeta produção.
Decisão
Section titled “Decisão”package.jsonjá atualizado para^3.114.17(commit pending install)- O upgrade será aplicado na próxima execução de
pnpm installem ambiente sem OneDrive sync - Risco aceito temporariamente até instalação completar
Ação requerida
Section titled “Ação requerida”# Executar fora de pasta OneDrive ou após desabilitar sync:pnpm install# Verificar versão:pnpm list wrangler