Rasa-Jmac

**Nome do software vulnerável e versões afetadas** Versões do Rasa X anteriores à 0.42.4 **Descrição** A vulnerabilidade permite a traversal de diretórios durante a extração de arquivos compactados. Na funcionalidade que permite ao usuário carregar um arquivo de modelo treinado, um invasor tem capacidade de gravação arbitrária em diretórios específicos por meio de um arquivo compactado especialmente criado. **Recomendações** Para versões anteriores à 0.42.4, atualize para a versão 0.42.4 ou posterior para resolver o problema. Como solução temporária, considere restringir a funcionalidade que permite aos usuários carregar arquivos de modelos treinados até que um patch seja aplicado. Evite usar arquivos de arquivo criados especificamente para explorar a vulnerabilidade de traversal de diretório.

**Nome do software vulnerável e versões afetadas** Versões do Rasa anteriores à 2.8.10 **Descrição** Existe uma vulnerabilidade na funcionalidade que carrega um arquivo `tar.gz` de modelo treinado, permitindo que um agente mal-intencionado crie um arquivo `model.tar.gz` capaz de sobrescrever ou substituir arquivos de bot no diretório de bots. Esse problema permite que um invasor tenha capacidade de gravação arbitrária em diretórios específicos usando um arquivo compactado criado de forma maliciosa. **Recomendações** Para versões anteriores à 2.8.10, atualize para o Rasa 2.8.10 para corrigir a vulnerabilidade. Como solução alternativa temporária para usuários que não possam atualizar, certifique-se de que os usuários não enviem arquivos de modelo não confiáveis e restrinja o acesso à CLI ou ao endpoint da API onde um agente mal-intencionado possa ter como alvo uma instância do Rasa implantada.