Philr

**Nome do software vulnerável e versões afetadas** Versões do TZInfo anteriores à 0.3.61 Versões do TZInfo de 1.0.0 a 1.2.9 quando utilizadas com a fonte de dados Ruby Versão 0.3.60 do TZInfo e anteriores **Descrição** O problema está relacionado à traversal de caminho relativo na biblioteca TZInfo Ruby, que fornece acesso a dados de fuso horário. A biblioteca não valida corretamente os identificadores de fuso horário, permitindo a presença de um caractere de nova linha dentro do identificador. Isso pode levar ao carregamento de arquivos indesejados com `require` e à sua execução dentro do processo Ruby. A vulnerabilidade pode ser explorada em aplicativos que permitem o upload de arquivos e possuem um seletor de fuso horário que aceita identificadores de fuso horário arbitrários. **Recomendações** Para versões anteriores à 0.3.61, atualize para a versão 0.3.61 ou posterior. Para as versões 1.0.0 a 1.2.9, quando usadas com a fonte de dados Ruby, atualize para a versão 1.2.10 ou posterior. Como solução temporária, valide o identificador de fuso horário antes de passá-lo para `TZInfo::Timezone.get`, garantindo que ele corresponda à expressão regular `A[A-Za-z0-9+- ]+(?:/[A-Za-z0-9+- ]+)*z`. Certifique-se de que arquivos não confiáveis não sejam colocados em um diretório no caminho de carregamento para impedir o carregamento arbitrário de arquivos.