CVE-2021-27919

**Nome do software vulnerável e versões afetadas:

Versões do Go 1.16.0 a 1.16.0

Descrição:

A vulnerabilidade permite que invasores provoquem uma negação de serviço (panic) ao utilizar a API Reader.Open para um arquivo ZIP que contenha um arquivo cujo caminho seja prefixado por “../”. Isso pode ocorrer ao analisar arquivos fornecidos pelo usuário, servindo potencialmente como um vetor de negação de serviço. O endpoint da API “Reader.Open” é afetado quando um arquivo ZIP contém um nome de arquivo que começa com “../”, levando a um estouro de pilha e subsequente pânico.

Recomendações:

Para as versões 1.16.0 a 1.16.0 do Go, atualize para a versão 1.16.1 para resolver o problema. Como solução temporária, considere evitar o uso da API Reader.Open para arquivos ZIP contendo nomes de arquivos com o prefixo “../” até que a atualização seja aplicada. Restrinja a análise de arquivos fornecidos pelo usuário para minimizar o risco de exploração.