Jkuf

**Nome do software vulnerável e versões afetadas** Versões do tough anteriores à 0.12.0 **Descrição** A biblioteca tough não sanitiza adequadamente os nomes dos alvos ao armazenar em cache um repositório ou ao salvar alvos específicos em um diretório de saída. Isso poderia permitir que arquivos fossem sobrescritos com conteúdo arbitrário em qualquer ponto do sistema. **Recomendações** Para versões anteriores à 0.12.0, atualize para a versão 0.12.0 para resolver o problema. No momento, não há informações sobre outras soluções alternativas para este problema.

**Nome do software vulnerável e versões afetadas** Versões do tough anteriores à 0.12.0 **Descrição** A biblioteca tough não sanitiza adequadamente os nomes de funções delegadas ao armazenar em cache um repositório ou ao carregá-lo a partir do sistema de arquivos. Isso pode fazer com que arquivos com a extensão .json sejam sobrescritos com metadados de funções em qualquer ponto do sistema. A vulnerabilidade é mitigada pelo fato de que afeta apenas implementações que permitem a seleção arbitrária de nomes de funções para metadados de alvos delegados, e o ataque requer a capacidade de inserir novos metadados para a função de traversal de caminho e obter a função delegada por metadados de alvos existentes. O conteúdo do arquivo gravado é fortemente restrito, pois precisa ser um arquivo de alvos válido e assinado, e a extensão do arquivo é sempre .json. **Recomendações** Para versões anteriores à 0.12.0, atualize para a versão 0.12.0 ou mais recente para resolver o problema. Como solução alternativa temporária, considere restringir o conjunto de caracteres permitido para nomes de funções ou armazenar metadados em arquivos nomeados de forma que não sejam vulneráveis, embora essas abordagens exijam alterações no código.