CVE-2022-25842

todas as versões do one-java-agent-plugin

A vulnerabilidade permite a gravação arbitrária de arquivos por meio da extração de arquivos compactados (Zip Slip), utilizando um arquivo compactado especialmente criado que contém nomes de arquivos com traversal de diretório (por exemplo, ../../evil.exe). O invasor pode sobrescrever arquivos executáveis e invocá-los remotamente ou aguardar que o sistema ou o usuário os execute, conseguindo assim a execução remota de comandos na máquina da vítima.

Para todas as versões, considere restringir o uso da funcionalidade de extração de arquivos até que uma correção esteja disponível. Como solução temporária, evite usar o pacote one-java-agent-plugin com arquivos não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.