CVE-2021-45712

**Nome do software vulnerável e versões afetadas:

Versões do crate rust-embed anteriores à 6.3.0

Descrição:

A vulnerabilidade permite que invasores leiam arquivos arbitrários no sistema de arquivos caso tenham controle sobre o nome de arquivo fornecido, especificamente ao executar em modo de depuração e quando o recurso debug-embed não estiver habilitado. Isso ocorre porque o método get gerado não verifica se o caminho de entrada é um subdiretório da pasta especificada. A falha pode ser explorada usando um traversal de diretório ../, conforme demonstrado pela capacidade de imprimir o conteúdo de /etc/passwd com código ajustado.

Recomendações:

Para versões do crate rust-embed anteriores à 6.3.0, atualize para a versão 6.3.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso debug-embed ou restringir o acesso ao método get para minimizar o risco de exploração. Além disso, certifique-se de que os nomes de arquivos de entrada sejam devidamente canonizados e validados para evitar ataques de traversal de diretório.