CVE-2022-31163

Versões do TZInfo anteriores à 0.3.61

Versões do TZInfo de 1.0.0 a 1.2.9 quando utilizadas com a fonte de dados Ruby

Versão 0.3.60 do TZInfo e anteriores

O problema está relacionado à traversal de caminho relativo na biblioteca TZInfo Ruby, que fornece acesso a dados de fuso horário. A biblioteca não valida corretamente os identificadores de fuso horário, permitindo a presença de um caractere de nova linha dentro do identificador. Isso pode levar ao carregamento de arquivos indesejados com require e à sua execução dentro do processo Ruby. A vulnerabilidade pode ser explorada em aplicativos que permitem o upload de arquivos e possuem um seletor de fuso horário que aceita identificadores de fuso horário arbitrários.

Para versões anteriores à 0.3.61, atualize para a versão 0.3.61 ou posterior.

Para as versões 1.0.0 a 1.2.9, quando usadas com a fonte de dados Ruby, atualize para a versão 1.2.10 ou posterior.

Como solução temporária, valide o identificador de fuso horário antes de passá-lo para TZInfo::Timezone.get, garantindo que ele corresponda à expressão regular A[A-Za-z0-9+- ]+(?:/[A-Za-z0-9+- ]+)*z.

Certifique-se de que arquivos não confiáveis não sejam colocados em um diretório no caminho de carregamento para impedir o carregamento arbitrário de arquivos.