Derek Wang

**Nome do software vulnerável e versões afetadas** github.com/argoproj/argo-events/sensors/artifacts versões anteriores à 1.7.1 **Descrição** O problema diz respeito a uma vulnerabilidade de traversal de diretório no componente `GitArtifactReader`, especificamente na API `(g *GitArtifactReader).Read()`. Isso poderia permitir a leitura arbitrária de arquivos se o `GitArtifactReader` receber um caminho contendo um link simbólico ou um nome de diretório implícito, como `../`. A vulnerabilidade surge porque não são realizadas verificações no arquivo no momento da leitura, o que poderia levar um invasor a ler arquivos em qualquer lugar do sistema usando links simbólicos ou inserindo `../` no caminho. **Recomendações** Para versões anteriores à 1.7.1, atualize para a versão 1.7.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao componente `GitArtifactReader` ou evitar o uso de nomes de caminho que possam ser explorados para traversal de diretório até que a atualização seja aplicada.