Dbconfession78

**Nome do Software Vulnerável e Versões Afetadas** Dapr versões 1.3.0 até 1.15.13 Dapr versões 1.16.0-rc.1 até 1.16.13 Dapr versões 1.17.0-rc.1 até 1.17.4 **Description** Existe um problema na forma como as políticas de controle de acesso para a invocação de serviços são processadas. A Lista de Controle de Acesso (ACL) e a camada de despacho normalizavam os caminhos dos métodos de forma independente, permitindo uma divergência onde a ACL avalia um caminho enquanto a aplicação alvo recebe outro. Essa discrepância permite a evasão de políticas de controle de acesso usando caracteres de URL reservados e sequências de path traversal nos caminhos dos métodos. Por exemplo, um invasor poderia usar path traversal codificado (ex: `admin%2F..%2Fpublic`) para acessar um caminho permitido quando o método começava com um prefixo negado, ou usar caracteres de fragmento (`%23`) ou consulta (`%3F`) codificados para manipular a avaliação do caminho. A API gRPC é um vetor mais significativo, pois transmite strings de método brutas, entregando caracteres como `#`, `?` e `../` literalmente, sem sanitização do lado do cliente. **Recommendations** Atualizar para a versão 1.15.14 para versões no intervalo de 1.3.0 a 1.15.13. Atualizar para a versão 1.16.14 para versões no intervalo de 1.16.0-rc.1 a 1.16.13. Atualizar para a versão 1.17.5 para versões no intervalo de 1.17.0-rc.1 a 1.17.4.