CVE-2024-21633

Versões 2.9.1 e anteriores do Apktool

O problema está relacionado à restrição incorreta do nome do caminho do diretório com acesso limitado. Um invasor pode explorar isso para gravar ou sobrescrever dados arbitrários. O Apktool infere o caminho de saída dos arquivos de recursos de acordo com seus nomes, o que pode ser manipulado por um invasor para colocar arquivos em um local desejado no sistema em que o Apktool é executado. Os ambientes afetados são aqueles em que um invasor pode gravar ou sobrescrever qualquer arquivo ao qual o usuário tenha acesso de gravação, e em que o nome do usuário é conhecido ou o diretório de trabalho atual está dentro da pasta do usuário.

Para as versões 2.9.1 e anteriores, aplique o patch do commit d348c43b24a9de350ff6e5bd610545a10c1fc712 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de gravação a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite usar o Apktool em ambientes onde um invasor possa ter acesso de gravação a arquivos ou diretórios críticos até que o problema seja resolvido.