Iifiigii

**Nome do software vulnerável e versões afetadas** OctoRPKI (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um repositório crie um arquivo que possa ser gravado no disco fora da pasta de cache base, devido à falha na escapagem de um URI com um nome de arquivo contendo “..”. Isso poderia possibilitar a execução remota de código na máquina host que executa o OctoRPKI. A vulnerabilidade está relacionada a ataques de traversal de diretório, nos quais a função `ExtractPathManifest` permite caminhos de arquivo contendo componentes de diretório relativos (“..”), permitindo que os arquivos façam referência a locais arbitrários no sistema de arquivos. Por exemplo, um repositório poderia criar um arquivo usando o URI `rsync://example.org/repo/../../etc/cron.daily/evil.roa`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.