Unrud

**Nome do software vulnerável e versões afetadas** Versões do Go anteriores à 1.17.11 Versões do Go anteriores à 1.18.3 **Descrição** O problema diz respeito à conversão incorreta de certos caminhos inválidos em caminhos absolutos válidos na função filepath.Clean no Windows, o que pode permitir um ataque de traversal de diretório. Por exemplo, a função `Clean` pode converter um caminho inválido como `.c:` em um caminho absoluto válido `c:`. **Recomendações** Para versões do Go anteriores à 1.17.11, atualize para a versão 1.17.11 ou posterior para resolver o problema. Para versões do Go anteriores à 1.18.3, atualize para a versão 1.18.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função `filepath.Clean` em sistemas Windows até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** Radicale versions prior to 1.1 **Description** The issue allows remote attackers to read or write to arbitrary files via a crafted path. For example, a crafted path like '/c:/file/ignore' can be used to access files on the system. **Recommendations** For versions prior to 1.1, update to version 1.1 or later to resolve the issue. As a temporary workaround, consider restricting access to the filesystem storage backend to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Radicale versions prior to 1.1 **Description** The issue allows remote attackers to read or write to arbitrary files via a crafted component name in the multifilesystem storage backend. **Recommendations** For versions prior to 1.1, update to version 1.1 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Radicale versions prior to 1.1 **Description** The issue allows remote authenticated users to bypass owner write and owner only limitations via regex metacharacters in the user name. This can be demonstrated by using ".*" in the user name, effectively bypassing the intended restrictions. **Recommendations** For versions prior to 1.1, update to version 1.1 or later to resolve the issue. As a temporary workaround, consider restricting the use of regex metacharacters in user names to minimize the risk of exploitation.