Jknack

**Nome do software vulnerável e versões afetadas** io.jooby:jooby versões anteriores à 1.6.7 org.jooby:jooby versões anteriores à 1.6.7 io.jooby:jooby versões 2.0.0 a 2.8.2 org.jooby:jooby versões 2.0.0 a 2.8.2 **Descrição** A vulnerabilidade permite o acesso a informações confidenciais disponíveis no classpath por meio de traversal de diretório. Isso pode ser feito por meio de dois vetores distintos. Ao compartilhar um diretório do sistema de arquivos, o classpath também é pesquisado em busca do arquivo, permitindo que um invasor acesse arquivos de configuração ou arquivos de classe do aplicativo. Além disso, os recursos configurados para acessar recursos a partir da raiz do classpath podem ser percorridos, permitindo que um invasor acesse informações confidenciais. **Recomendações** Para versões do io.jooby:jooby anteriores à 1.6.7, atualize para a versão 1.6.7. Para versões do org.jooby:jooby anteriores à 1.6.7, atualize para a versão 1.6.7. Para versões do io.jooby:jooby de 2.0.0 a 2.8.2, atualize para a versão 2.8.2. Para as versões 2.0.0 a 2.8.2 do org.jooby:jooby, atualize para a versão 2.8.2. Como solução temporária, considere restringir o acesso a informações confidenciais disponíveis no classpath até que um patch esteja disponível. Evite usar a função `assets` com diretórios do sistema de arquivos ou recursos do classpath até que o problema seja resolvido.