Redyank

**Name of the Vulnerable Software and Affected Versions** gdown versões anteriores a 5.2.2 **Description** Um problema de Path Traversal existe na função `extractall()` no arquivo `gdown/extractall.py`. O software falha ao sanitizar ou validar os nomes dos arquivos dos membros em arquivos ZIP ou TAR durante a extração. Isso permite que arquivos sejam gravados fora do diretório de destino pretendido, o que pode levar à sobrescrita arbitrária de arquivos e Execução Remota de Código (RCE). **Recommendations** Atualize para a versão 5.2.2. Como medida paliativa temporária, restrinja o uso da função `extractall()` ao processar arquivos de fontes não confiáveis.

Name of the Vulnerable Software and Affected Versions FastFeedParser versões anteriores a 0.5.10 Description O FastFeedParser, um analisador de RSS, Atom e RDF de alto desempenho, está sujeito a um problema de negação de serviço. Quando a função `parse()` busca uma URL que redireciona por meio de uma tag HTML `<meta http-equiv="refresh">`, ela pode entrar em um loop de recursão infinito se a cadeia de redirecionamento for ilimitada. Isso ocorre devido à falta de limitação de profundidade, deduplicação de URLs visitados e limite de contagem de redirecionamentos. Um invasor que controla o servidor pode esgotar a pilha de chamadas do Python, levando a uma falha no processo. Este problema também pode ser combinado com um problema de Server-Side Request Forgery (SSRF) para acessar alvos de rede interna. Recommendations Atualize para a versão 0.5.10 ou posterior do FastFeedParser.

Name of the Vulnerable Software and Affected Versions Lupa versões 2.6 e anteriores Description Lupa integra os runtimes de Lua ou LuaJIT2 no CPython. Nas versões 2.6 e anteriores, o `attribute filter` não é consistentemente aplicado quando os atributos são acessados através de funções internas como `getattr` e `setattr`. Isso permite que um invasor ignore as restrições pretendidas e potencialmente execute código arbitrário. Recommendations Atualize para uma versão do Lupa posterior a 2.6.

Name of the Vulnerable Software and Affected Versions Kedro-Datasets versões anteriores a 9.3.0 Description O plugin Kedro-Datasets é suscetível a um problema de travessia de caminho no componente PartitionedDataset. Os IDs de partição eram concatenados diretamente com o caminho base do conjunto de dados sem validação adequada. Uma entrada maliciosa contendo componentes '..' dentro de um ID de partição poderia permitir que um invasor gravasse arquivos fora do diretório do conjunto de dados pretendido, potencialmente sobrescrevendo arquivos arbitrários no sistema de arquivos. Isso afeta os usuários do PartitionedDataset com qualquer backend de armazenamento (sistema de arquivos local, S3, GCS, etc.). Recommendations Atualize para a versão 9.3.0 ou posterior do kedro-datasets. Como medida temporária, valide os IDs de partição antes de passá-los para o PartitionedDataset, garantindo que eles não contenham componentes de caminho '..'.

Name of the Vulnerable Software and Affected Versions curl cffi (versões afetadas não especificadas) Description curl cffi não restringe solicitações a intervalos de IP internos e segue automaticamente os redirecionamentos via libcurl. Isso permite que uma URL controlada por um invasor redirecione solicitações para serviços internos, como endpoints de metadados de nuvem. Além disso, o recurso de personificação TLS do curl cffi pode fazer com que essas solicitações pareçam tráfego legítimo do navegador, contornando potencialmente os controles de rede. O problema surge porque as URLs fornecidas pelo usuário são passadas diretamente para o libcurl sem validação de intervalos de IP internos, os redirecionamentos são seguidos automaticamente e não há validação dos destinos de redirecionamento na camada Python. Um invasor pode fornecer uma URL apontando para seu servidor, que redireciona para um serviço interno, permitindo o acesso a endpoints internos. O recurso de personificação de impressão digital TLS pode ajudar ainda mais a contornar os controles de filtragem baseados em TLS. Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** GMT versions 6.6.0 and prior **Description** GMT is an open source collection of command-line tools for manipulating geographic and Cartesian data sets. A stack-based buffer overflow exists in the `gmt remote dataset id` function within `src/gmt remote.c`. This occurs when a specially crafted long string is provided as a dataset identifier, potentially leading to a crash or arbitrary code execution. The issue is triggered when using the which module. This has been addressed with commit 0ad2b49. **Recommendations** Versions prior to 6.6.0 should be updated to a newer version that includes commit 0ad2b49.

**Name of the Vulnerable Software and Affected Versions** Intake versions prior to 2.0.9 **Description** Intake is a package used for finding, investigating, loading, and disseminating data. A flaw exists where the shell() syntax within parameter default values is automatically expanded during catalog parsing. If a catalog contains a parameter default such as shell(<command>), the command may be executed when the catalog source is accessed. This allows an attacker to execute commands on the host system by embedding them within a malicious catalog YAML file. The issue originates from how parameter default values are expanded during catalog loading and source access, specifically involving the `expand defaults()` function and related parameter parsing mechanisms. A proof-of-concept demonstrates that a malicious YAML file can be crafted to execute arbitrary commands, such as creating a file in the /tmp directory. An attacker could distribute a malicious catalog file through various channels, including Git repositories, shared datasets, and URLs. A successful attack could allow an attacker to execute commands with the local user privileges of the victim. **Recommendations** Versions prior to 2.0.9 should be updated to version 2.0.9 or later.

**Name of the Vulnerable Software and Affected Versions** dynaconf versions prior to 3.2.13 **Description** dynaconf is susceptible to Server-Side Template Injection (SSTI) due to insecure template evaluation within the @Jinja resolver. When the `jinja2` package is installed, Dynaconf evaluates template expressions embedded in configuration values without a sandboxed environment. Attackers influencing configuration sources—such as environment variables, `.env` files, container environment configuration, or CI/CD secrets—can execute arbitrary OS commands on the host system. The @format resolver also allows object graph traversal, potentially exposing sensitive runtime objects and environment variables. A proof-of-concept (PoC) demonstrates command execution using the `cycler` object to access Python’s `os` module and execute commands. Successful exploitation can lead to arbitrary OS command execution, access to sensitive environment variables, compromise of application secrets, and full compromise of the running application process. The vulnerability can be remotely exploitable in real-world deployments due to the potential for configuration values to originate from CI/CD pipelines, container orchestration systems, or environment injection. **Recommendations** versions prior to 3.2.13: Upgrade to version 3.2.13 or later to address the vulnerability. versions prior to 3.2.13: Use Jinja2 sandbox for template rendering. versions prior to 3.2.13: Restrict @format usage to trusted values.

**Nome do Software Vulnerável e Versões Afetadas** eml parser versões anteriores a 2.0.1 **Descrição** O módulo eml parser, usado para análise de arquivos eml, contém uma vulnerabilidade de path traversal no script de exemplo `examples/recursively extract attachments.py`. Isso permite a gravação arbitrária de arquivos fora do diretório de saída pretendido. Os nomes de arquivos de anexos extraídos de e-mails analisados são utilizados diretamente para construir caminhos de arquivos de saída sem sanitização. Um nome de arquivo controlado por um atacante pode escapar do diretório de destino ao criar cabeçalhos de anexos de e-mail, como definir o cabeçalho `Content-Disposition` com um nome de arquivo como `../outside/pwned.txt`. O código vulnerável está localizado nas linhas 61-64 do script `examples/recursively extract attachments.py`, onde a variável `a['filename']` é usada diretamente para construir o caminho do arquivo de saída. A vulnerabilidade está limitada ao script de exemplo e não afeta a biblioteca principal eml parser. Cenários de ataque potenciais incluem injeção de cron job, upload de web shell e injeção de chave SSH. O parâmetro vulnerável é `a['filename']`. **Recomendações** Versões anteriores a 2.0.1 devem ser atualizadas para a versão 2.0.1 ou posterior. Como solução temporária, implemente normalização de caminho e validação de limites antes de gravar arquivos. Especificamente, utilize `os.path.basename()` para extrair o nome do arquivo e garanta que o caminho resultante seja relativo ao diretório de saída pretendido usando `out filepath.resolve().is relative to(out path.resolve())`.