CVE-2022-21221

github.com/valyala/fasthttp versões anteriores à 1.34.0

A vulnerabilidade está relacionada a um ataque de traversal de diretório (Directory Traversal) por meio da função ServeFile, devido a uma sanitização inadequada. Ela pode ser explorada utilizando o caractere de barra invertida %5c no caminho. Esta vulnerabilidade de segurança afeta apenas usuários do Windows. O manipulador de solicitações fasthttp.FS é vulnerável a ataques de traversal de diretório em sistemas Windows, permitindo que um invasor sirva arquivos de fora do diretório raiz fornecido. Isso ocorre porque a normalização do caminho da URL não lida com separadores de caminho do Windows (barras invertidas), permitindo que um invasor construa solicitações com caminhos relativos.

Para versões anteriores à 1.34.0, atualize para a versão 1.34.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função ServeFile até que um patch esteja disponível. Restrinja o acesso ao manipulador de solicitações fasthttp.FS para minimizar o risco de exploração. Evite usar o caractere barra invertida %5c no caminho para os pontos de extremidade da API afetados até que o problema seja resolvido.