Jacoblee93

**Nome do software vulnerável e versões afetadas** langchain-ai/langchainjs versão 0.2.5 **Descrição** Existe uma vulnerabilidade de traversal de caminho no método `getFullPath`, permitindo que invasores salvem arquivos em qualquer local do sistema de arquivos, sobrescrevam arquivos de texto existentes, leiam arquivos `.txt` e excluam arquivos. A vulnerabilidade é explorada por meio dos métodos `setFileContent`, `getParsedFile` e `mdelete`, que não sanitizam adequadamente as entradas do usuário. **Recomendações** Para a versão 0.2.5, considere desativar os métodos `getFullPath`, `setFileContent`, `getParsedFile` e `mdelete` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a esses métodos para minimizar o risco de invasores salvarem, sobrescreverem, lerem ou excluírem arquivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.