CVE-2021-32804

Versões do node-tar anteriores à 3.3.2, 4.4.14, 5.0.6 e 6.1.1

A vulnerabilidade está relacionada ao módulo node-tar, utilizado para lidar com arquivos tar no Node.js, que apresenta um problema de filtragem incorreta da sequência de caracteres ‘/’. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados e causasse uma negação de serviço. O pacote npm “tar” (também conhecido como node-tar) apresenta uma vulnerabilidade de criação/sobrescrita arbitrária de arquivos devido à sanitização insuficiente de caminhos absolutos. O node-tar visa impedir a extração de caminhos absolutos de arquivos, convertendo-os em caminhos relativos quando o sinalizador preservePaths não está definido como true. No entanto, essa lógica era insuficiente quando os caminhos dos arquivos continham raízes de caminho repetidas.

Para versões anteriores a 3.3.2, 4.4.14, 5.0.6 e 6.1.1, atualize para as respectivas versões corrigidas (3.3.2, 4.4.14, 5.0.6 ou 6.1.1) para resolver o problema. Como solução alternativa temporária, considere criar um método onentry personalizado que sanitize o entry.path ou um método filter que remova entradas com caminhos absolutos.