CVE-2021-21251

**Nome do software vulnerável e versões afetadas:

Versões do OneDev anteriores à 4.0.3

Descrição:

O OneDev é uma plataforma DevOps completa que apresenta uma vulnerabilidade crítica do tipo “zip slip”, a qual pode levar à gravação arbitrária de arquivos. O endpoint REST KubernetesResource descompacta dados controlados pelo usuário a partir do corpo da solicitação utilizando TarUtils, um método de biblioteca personalizado que utiliza o Apache Commons Compress. Durante o processo de descompactação, não há verificações para impedir que um arquivo descompactado percorra o sistema de arquivos e sobrescreva um arquivo existente. Para uma exploração bem-sucedida, o invasor precisa de um JobToken válido. Esta questão é considerada uma vulnerabilidade em io.onedev.commons.utils.TarUtils, uma vez que pode afetar outros projetos que o utilizam.

Recomendações:

Para versões anteriores à 4.0.3, atualize para a versão 4.0.3 ou posterior, que valida os caminhos no arquivo tar para permitir que eles fiquem apenas em uma pasta especificada quando extraídos. Como solução alternativa temporária, considere restringir o acesso ao endpoint REST KubernetesResource ou desativar a função TarUtils até que um patch esteja disponível. Evite usar o JobToken no endpoint da API afetado até que o problema seja resolvido.