Vamsik2K5

**Nome do Software Vulnerável e Versões Afetadas** apko versões 0.14.8 até 1.2.4 **Descrição** Um arquivo .apk manipulado pode instalar uma entrada de tar `TypeSymlink` cujo destino aponta para fora da raiz de compilação. Entradas subsequentes de criação de diretório ou gravação de arquivo no mesmo arquivo ou em arquivos posteriores podem atravessar esse link simbólico para acessar caminhos do host que o usuário de compilação tem permissão para gravar. O problema decorre do auxiliar `sanitizePath` em `pkg/apk/fs/rwosfs.go`, que rejeitava apenas a travessia léxica `..` e não resolvia ou recusava links simbólicos. Isso afeta métodos `DirFS` baseados em disco que passam caminhos fornecidos pelo chamador para chamadas de biblioteca padrão que seguem links simbólicos, incluindo `ReadFile()`, `WriteFile()`, `Chmod()`, `Chown()`, `Chtimes()`, `MkdirAll()`, `Mkdir()` e `Mknod()`. A primitiva primária alcançável durante a extração do tar é a cadeia `MkdirAll()` / `Mkdir()` / `WriteFile()` via `apko build-cpio` e consumidores baseados em disco, como o `melange`. **Recomendações** Atualize para a versão 1.2.5.

**Name of the Vulnerable Software and Affected Versions** Coder/code-marketplace versões até 2.4.1 **Description** Uma vulnerabilidade Zip Slip permite que um arquivo VSIX malicioso grave arquivos em locais arbitrários fora do diretório da extensão. A função `ExtractZip` passa nomes de entrada zip brutos para uma função de retorno que grava arquivos usando `filepath.Join` sem uma verificação de limite. `filepath.Join` resolve componentes '..' mas não impede que o resultado escape do caminho base. Um usuário autenticado pode enviar um VSIX contendo entradas de travessia de caminho, potencialmente levando à persistência, injeção de chave SSH ou sobrescrita de binário, dependendo das permissões do processo. **Recommendations** Atualize para a versão 2.4.2 ou posterior.