Nathaniel-Daniel

**Nome do software vulnerável e versões afetadas** Versões do cap-std anteriores à 3.4.1 Versões do cap-primitives anteriores à 3.4.1 Versões do cap-async-std anteriores à 3.4.1 **Descrição** A implementação da sandbox do sistema de arquivos do projeto cap-std no Windows apresenta uma falha que permite que caminhos não confiáveis do sistema de arquivos contornem a sandbox e acessem dispositivos por meio de nomes de arquivos especiais com dígitos sobrescritos, como “COM¹”, “COM²”, “LPT⁰”, “LPT¹” e assim por diante. Isso pode proporcionar acesso a dispositivos periféricos conectados ao computador ou a recursos de rede mapeados para esses dispositivos, incluindo modems, impressoras, impressoras de rede e qualquer outro dispositivo conectado a uma porta serial ou paralela, incluindo portas seriais USB emuladas. **Recomendações** Para versões do cap-std anteriores à 3.4.1, atualize para a versão 3.4.1 ou posterior. Para versões do cap-primitives anteriores à 3.4.1, atualize para a versão 3.4.1 ou posterior. Para versões do cap-async-std anteriores à 3.4.1, atualize para a versão 3.4.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Wasmtime anteriores à 24.0.2 Versões do Wasmtime anteriores à 25.0.3 Versões do Wasmtime anteriores à 26.0.1 **Descrição** O problema diz respeito à implementação da sandbox do sistema de arquivos do Wasmtime no Windows, que não consegue bloquear o acesso a nomes de arquivos de dispositivos especiais que utilizam dígitos sobrescritos, como “COM¹”, “COM²”, “LPT⁰”, “LPT¹” e assim por diante. Isso permite que programas Wasm não confiáveis contornem a sandbox e acessem dispositivos por meio desses nomes de arquivo especiais, potencialmente obtendo acesso a dispositivos periféricos conectados ao computador ou a recursos de rede mapeados para esses dispositivos. Isso pode incluir modems, impressoras, impressoras de rede e qualquer outro dispositivo conectado a uma porta serial ou paralela, incluindo portas seriais USB emuladas. **Recomendações** Para as versões 23.0.x e anteriores do Wasmtime, atualize para uma das versões corrigidas, como 24.0.2, 25.0.3 ou 26.0.1. Como não há soluções alternativas conhecidas para este problema, recomenda-se que os usuários do Windows afetados atualizem para uma versão corrigida.