CVE-2024-21542

Nome do software vulnerável e versões afetadas:

Versões do luigi anteriores à 3.6.0

Descrição:

O problema está relacionado à validação inadequada do caminho do arquivo de destino na função extract packages archive, o que pode levar à gravação arbitrária de arquivos por meio da extração de arquivos compactados, também conhecida como Zip Slip. Essa vulnerabilidade pode ser explorada por um invasor remoto usando um arquivo zip especialmente criado, permitindo-lhe, potencialmente, executar código arbitrário.

Recomendações:

Para versões anteriores à 3.6.0, atualize para a versão 3.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função extract packages archive até que um patch esteja disponível. Restrinja o acesso ao manipulador de extração de arquivos para minimizar o risco de exploração. Evite usar a função vulnerável para extrair arquivos de fontes não confiáveis até que o problema seja resolvido.