CVE-2024-49760

Nome do software vulnerável e versões afetadas:

Versões do OpenRefine anteriores à 3.8.3

Descrição:

O comando load-language no OpenRefine espera um parâmetro lang para construir o caminho do arquivo de localização a ser carregado, no formato translations-$LANG.json. No entanto, nas versões afetadas, ele não verifica se o caminho resultante está no diretório esperado, permitindo que o comando seja explorado para ler outros arquivos JSON no sistema de arquivos.

Recomendações:

Para versões anteriores à 3.8.3, atualize para a versão 3.8.3 para resolver este problema. Como solução temporária, considere restringir o acesso ao comando load-language para minimizar o risco de exploração. Além disso, certifique-se de que o caminho normalizado seja verificado para estar no diretório esperado, a fim de impedir o acesso não autorizado aos arquivos.