CVE-2021-23521

juce-framework/JUCE versões anteriores à 6.1.5

Esta vulnerabilidade é acionada quando um arquivo compactado malicioso é criado com uma entrada contendo um link simbólico. Ao ser extraído, o link simbólico é seguido para fora do diretório de destino, permitindo a gravação de arquivos arbitrários no host de destino. Em alguns casos, isso pode permitir que um invasor execute código arbitrário. O código vulnerável está na função ZipFile::uncompressEntry em juce ZipFile.cpp e é executado quando o arquivo é extraído ao chamar uncompressTo() em um objeto ZipFile.

Para versões anteriores à 6.1.5, atualize para a versão 6.1.5 ou posterior para resolver o problema. Como solução temporária, considere desativar a função uncompressTo() em objetos ZipFile até que um patch esteja disponível. Restrinja o acesso ao módulo juce ZipFile.cpp para minimizar o risco de exploração. Evite usar a função ZipFile::uncompressEntry no arquivo juce ZipFile.cpp afetado até que o problema seja resolvido.