Halo Dev · Halo · CVE-2026-15326
**Nome do Software Vulnerável e Versões Afetadas**
halo-dev halo versões anteriores a 2.24.3
**Description**
Um problema de path traversal existe no componente Theme Installation, especificamente na função `ThemeUtils.unzipThemeTo()` do arquivo `ThemeUtils.java`. Isso ocorre quando o argumento `metadata.name` é manipulado, permitindo que um invasor remoto realize o path traversal, que é um método usado para acessar arquivos e diretórios armazenados fora da pasta pretendida.
**Recommendations**
Atualize o halo-dev halo para uma versão posterior a 2.24.2.
Como medida de mitigação temporária, restrinja o uso da função `ThemeUtils.unzipThemeTo()` até que a atualização seja aplicada.