George Tsigourakos

Nome do Software Vulnerável e Versões Afetadas Versões do filelock anteriores a 3.20.3 Descrição Existe uma condição de corrida na implementação do SoftFileLock do pacote filelock. Um atacante com acesso ao sistema de arquivos local e permissão para criar symlinks pode explorar uma discrepância de tempo entre a validação de permissões e a criação do arquivo. Essa condição de corrida ocorre no método ` acquire()` entre `raise on not writable file()` e `os.open()`. Um atacante pode criar um symlink no caminho do arquivo de lock, possivelmente fazendo com que o lock opere em um arquivo alvo não pretendido ou levando a uma negação de serviço. Recomendações Atualize para a versão 3.20.3 ou superior do filelock.