CVE-2024-12087

rsync (versões afetadas não especificadas)

Existe uma vulnerabilidade de traversal de caminho no rsync, decorrente do comportamento ativado pela opção --inc-recursive. Essa opção está ativada por padrão para muitas opções do cliente e pode ser ativada pelo servidor mesmo que não tenha sido explicitamente ativada pelo cliente. Ao usar a opção --inc-recursive, a falta de verificação adequada de links simbólicos, combinada com verificações de deduplicação realizadas por lista de arquivos, poderia permitir que um servidor gravasse arquivos fora do diretório de destino pretendido pelo cliente. Um servidor malicioso poderia gravar arquivos maliciosos em locais arbitrários com nomes de diretórios/caminhos válidos no cliente.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.