Versões do bestzip anteriores à 2.1.7

O problema decorre da falha do pacote em sanitizar as regras de entrada, que são então passadas diretamente para uma chamada exec na função zip. Isso pode permitir que invasores executem código arbitrário no sistema se o valor destination for controlado pelo usuário. A vulnerabilidade afeta apenas usuários que tenham o comando zip nativo disponível. Exemplos do problema incluem a execução de comandos como bestzip test.zip ‘sourcefile; mkdir folder’ a partir da CLI ou zip({ source: ‘sourcefile’, destination: ‘./test.zip; mkdir folder’ }) programaticamente.

Para versões anteriores à 2.1.7, atualize para a versão 2.1.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o controle do usuário sobre a variável destination para minimizar o risco de exploração. Além disso, evite usar a função zip com entradas controladas pelo usuário até que o problema seja resolvido.