CVE-2024-1485

Versões do registry-support anteriores à v0.0.0-20240206

Foi encontrada uma falha na função de descompressão do registry-support. Esse problema pode ser acionado se um invasor remoto não autenticado induzir um usuário a analisar um arquivo devfile que utilize as palavras-chave parent ou plugin, ou a abrir um arquivo .tar especialmente modificado. Isso poderia levar o processo de limpeza a seguir caminhos relativos para sobrescrever ou excluir arquivos fora do escopo pretendido.

Para versões anteriores à v0.0.0-20240206, atualize para a versão v0.0.0-20240206 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função de descompressão no registry-support para minimizar o risco de exploração. Evite usar as palavras-chave parent ou plugin nos devfiles até que o problema seja resolvido. Restrinja o acesso a arquivos .tar especialmente modificados para impedir que o processo de limpeza sobrescreva ou exclua arquivos fora do escopo pretendido.