CVE-2021-32825

Versões do bblfshd anteriores ao commit 4265465b9b6fb5663c30ee43806126012066aad4

O problema está relacionado a uma vulnerabilidade “zipslip” na rotina de descompactação, que pode permitir que invasores leiam e/ou gravem em locais arbitrários fora da pasta de destino designada devido ao manuseio inseguro de links simbólicos. Isso pode levar à gravação arbitrária de arquivos com as mesmas permissões do programa que executa a operação de descompactação, caso o invasor consiga controlar o arquivo compactado. Além disso, se o invasor tiver acesso de leitura aos arquivos descompactados, ele poderá ler arquivos de sistema arbitrários para os quais o processo pai tenha permissões de leitura.

Para versões anteriores ao commit 4265465b9b6fb5663c30ee43806126012066aad4, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso à rotina de descompactação para minimizar o risco de exploração. Evite usar a funcionalidade de descompactação vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.