Joonas

**Nome do Software Vulnerável e Versões Afetadas** Distribution versões anteriores a 3.1.1 **Description** Existe uma falha de bypass de autorização onde a exclusão de tags através do endpoint "/v2/<name>/manifests/<tag>" ignora a configuração `storage.delete.enabled: false`. Isso permite que qualquer cliente de API remova tags de repositórios, mesmo quando o operador desativou explicitamente a exclusão. O problema ocorre porque a função `DeleteManifest()` detecta uma referência de tag e chama `tagStore.Untag()`, que interage diretamente com o driver de armazenamento sem verificar se as exclusões estão habilitadas. **Recommendations** Atualizar para a versão 3.1.1.

**Name of the Vulnerable Software and Affected Versions** Zarf versions 0.54.0 through 0.73.0 **Description** Zarf, an Airgap Native Packager Manager for Kubernetes, contains a path traversal flaw in its archive extraction process. A specially designed Zarf package can create symbolic links that point to locations outside the intended destination directory. This could allow for unauthorized reading or writing of files on the system processing the package. **Recommendations** Update to Zarf version 0.73.1 or later.