CVE-2021-29488

Versões do SABnzbd anteriores à 3.2.1RC1

Foi descoberta uma vulnerabilidade no SABnzbd que poderia induzir a função filesystem.renamer() a gravar arquivos baixados fora da pasta de download configurada por meio de arquivos PAR2 maliciosos. O problema está relacionado a erros no tratamento de caminhos relativos de diretórios. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a integridade dos dados usando um arquivo PAR2 malicioso.

Para versões anteriores à 3.2.1RC1, atualize para a versão 3.2.1RC1 ou posterior para resolver o problema.

Como solução temporária, considere limitar os downloads a NZBs sem arquivos PAR2.

Negue permissões de gravação ao processo do SABnzbd fora das áreas às quais ele precisa acessar para realizar sua tarefa até que um patch seja aplicado.