CVE-2022-3008

Versões do tinygltf anteriores à 2.6.0

A biblioteca tinygltf apresenta uma vulnerabilidade relacionada ao uso da função da biblioteca C wordexp() para expansão de caminhos de arquivos em caminhos não confiáveis provenientes de arquivos de entrada. Isso permite a injeção de comandos usando crases. Um invasor poderia criar uma entrada de caminho maliciosa para explorar essa vulnerabilidade, levando potencialmente à execução de código arbitrário ao enviar comandos especialmente formulados.

Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou aplique as alterações do commit 52ff00a38447f06a17eab1caa2cf0730a119c751 para resolver o problema. Como solução temporária, considere restringir o uso da função wordexp() até que um patch seja aplicado.