CVE-2021-45702

**Nome do software vulnerável e versões afetadas:

versões do tremor-script anteriores à 0.11.6

Descrição:

O problema está relacionado a um erro de uso após liberação (use-after-free) no crate tremor-script para Rust. Ele afeta as construções de linguagem Merge e Patch quando elas fazem referência ao event e atribuem o resultado de volta à expressão de destino. A otimização para manipular o valor de destino no local, em vez de cloná-lo, pode levar ao acesso a regiões de memória já liberadas. Isso permite o acesso a essas regiões de memória já liberadas e a extração de seu conteúdo pela rede.

Recomendações:

Para versões anteriores à 0.11.6, atualize para a versão 0.11.6 ou posterior para corrigir o problema.

Como solução alternativa temporária, evite a otimização introduzindo uma variável temporária e não reatribuindo imediatamente a state, por exemplo:

let tmp = merge state of event end;

let state = tmp