0X33C0Unt

**Nome do software vulnerável e versões afetadas** Versões do jadx anteriores à 1.5.0 **Descrição** O problema diz respeito a um descompilador de Dex para Java no qual o nome do pacote não é filtrado antes da concatenação, permitindo que um invasor injete código arbitrário no nome do pacote. Isso pode ser explorado para executar comandos com privilégios de shell. **Recomendações** Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 para resolver o problema. Como solução temporária, considere filtrar manualmente os nomes dos pacotes antes da concatenação para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 2.9.1 e anteriores do Apktool **Descrição** O problema está relacionado à restrição incorreta do nome do caminho do diretório com acesso limitado. Um invasor pode explorar isso para gravar ou sobrescrever dados arbitrários. O Apktool infere o caminho de saída dos arquivos de recursos de acordo com seus nomes, o que pode ser manipulado por um invasor para colocar arquivos em um local desejado no sistema em que o Apktool é executado. Os ambientes afetados são aqueles em que um invasor pode gravar ou sobrescrever qualquer arquivo ao qual o usuário tenha acesso de gravação, e em que o nome do usuário é conhecido ou o diretório de trabalho atual está dentro da pasta do usuário. **Recomendações** Para as versões 2.9.1 e anteriores, aplique o patch do commit d348c43b24a9de350ff6e5bd610545a10c1fc712 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de gravação a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite usar o Apktool em ambientes onde um invasor possa ter acesso de gravação a arquivos ou diretórios críticos até que o problema seja resolvido.