Rsync · Rsync · CVE-2026-43620
**Nome do Software Vulnerável e Versões Afetadas**
rsync versões anteriores a 3.4.3
**Descrição**
Existe uma leitura de array fora dos limites no lado do receptor na função `recv files()` em `receiver.c`. Um servidor rsync malicioso pode causar a interrupção determinística (SIGSEGV) do processo cliente rsync ao definir `CF INC RECURSE` nos sinalizadores de compatibilidade e enviar uma lista de arquivos especialmente elaborada onde a primeira entrada classificada não é o diretório de ponto inicial, seguida por um registro de transferência com `ndx=0` e uma palavra `iflag` sem `ITEM TRANSFER`. Essa sequência faz com que o receptor leia 8 bytes antes do array de ponteiros alocado e desreferencie um ponteiro inválido em um endereço não mapeado.
**Recomendações**
Atualize para a versão 3.4.3 ou posterior.