Mcv

**Nome do software vulnerável e versões afetadas** Versões do Flatpak anteriores à 1.12.3 e à 1.10.6 **Descrição** Uma falha de traversal de caminho afeta o Flatpak, uma estrutura de sandbox e distribuição de aplicativos para Linux. O `flatpak-builder` aplica `finish-args` por último na compilação, concedendo ao diretório de compilação acesso total, conforme especificado no manifesto. Normalmente, isso não é um problema, mas se `--mirror-screenshots-url` for especificado, o `flatpak-builder` inicia `flatpak build --nofilesystem=host appstream-utils mirror-screenshots` após a finalização, o que pode levar a problemas. Em uso normal, diretórios vazios podem ser criados em qualquer lugar onde o usuário tenha permissões de gravação. No entanto, um aplicativo malicioso poderia substituir o binário `appstream-util` e potencialmente realizar ações mais hostis. **Recomendações** Para versões anteriores à 1.12.3, atualize para a versão 1.12.3 ou posterior. Para versões anteriores à 1.10.6, atualize para a versão 1.10.6 ou posterior. Como solução temporária, considere evitar o uso da opção `--mirror-screenshots-url` até que o problema seja resolvido. Restrinja o acesso ao binário `appstream-util` para minimizar o risco de exploração.