CVE-2022-35918

Versões do Streamlit anteriores à 1.11.1

O Streamlit é uma estrutura de desenvolvimento de aplicativos orientada a dados para Python. Os usuários que hospedam aplicativos Streamlit que utilizam componentes personalizados estão vulneráveis a um ataque de traversal de diretório, o qual poderia causar o vazamento de dados do sistema de arquivos do servidor web, tais como logs do servidor, arquivos acessíveis a todos e, potencialmente, outras informações confidenciais. Um invasor pode criar uma URL maliciosa com caminhos de arquivo, e o servidor Streamlit processaria essa URL e retornaria o conteúdo desse arquivo ou sobrescreveria arquivos existentes no servidor web.

Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 para resolver o problema. Como prática geral de segurança, verifique se há código malicioso nos componentes personalizados antes de usá-los em aplicativos e siga as melhores práticas de segurança, como executar servidores web com privilégios reduzidos e usar firewalls para mitigar a gravidade de tais explorações.