Steverep

**Nome do software vulnerável e versões afetadas** Versões do aiohttp anteriores à 3.10.2 **Descrição** O problema está relacionado à traversal de caminho fora do diretório raiz em rotas estáticas que contêm arquivos com variantes compactadas (extensão `.gz` ou `.br`) quando essas variantes são links simbólicos. O servidor normalmente protege contra tal traversal quando `follow symlinks=False` (padrão), resolvendo a URL solicitada para um caminho absoluto e verificando-a em relação à raiz. No entanto, ao procurar variantes compactadas na classe `FileResponse`, essas verificações não são realizadas, e os links simbólicos são seguidos automaticamente durante as operações `Path.stat()` e `Path.open()` para enviar o arquivo. **Recomendações** Para versões do aiohttp anteriores à 3.10.2, atualize para a versão 3.10.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de variantes compactadas em rotas estáticas ou restringir o acesso à classe `FileResponse` até que um patch seja aplicado. Além disso, certifique-se de que `follow symlinks=False` para minimizar o risco de traversal de caminho fora do diretório raiz.