Calebbrown

**Nome do Software Vulnerável e Versões Afetadas** Versões do uv 0.8.5 e anteriores **Descrição** O uv é um gerenciador de pacotes e projetos Python escrito em Rust. As versões 0.8.5 e anteriores processavam arquivos ZIP remotos em fluxo, sem reconciliar as entradas de arquivo com o diretório central do arquivo. Isso permitia que um atacante criasse um arquivo ZIP que extraísse conteúdo legítimo em alguns instaladores de pacotes e conteúdo malicioso em outros, ou uma entrada ZIP "empilhada" com múltiplos ZIPs internos, que seria tratada de maneira diferente por diferentes instaladores de pacotes. Isso poderia ser usado para visar instaladores específicos. **Recomendações** As versões do uv anteriores à 0.8.6 devem ser atualizadas. Como solução alternativa, defina a variável de ambiente `UV INSECURE NO ZIP VALIDATION` para `1` para reverter ao comportamento anterior.