CVE-2025-29787

Nome do Software Vulnerável e Versões Afetadas versões do zip de 1.3.0 a 2.3.0 a versão 2.3.0 do zip corrige o problema, portanto as versões afetadas são anteriores à 2.3.0 Portanto, as versões afetadas são: versões do zip de 1.3.0 a 2.2.x

Descrição A rotina de extração de arquivos compactados do crate zip permite que links simbólicos presentes anteriormente no arquivo compactado sejam utilizados para arquivos posteriores no mesmo, sem validação do caminho canonicalizado final. Isso possibilita que arquivos compactados criados maliciosamente sobrescrevam arquivos arbitrários no sistema de arquivos quando extraídos. Usuários que extraem arquivos compactados não confiáveis utilizando métodos de API de alto nível podem ser afetados, e arquivos críticos no sistema podem ser sobrescritos com permissões de arquivo arbitrárias, potencialmente levando à execução de código.

Recomendações Para as versões do zip de 1.3.0 a 2.2.x, atualize para a versão 2.3.0 para corrigir o problema. Como solução temporária, considere evitar a extração de arquivos compactados não confiáveis usando os métodos zip::unstable::stream::ZipStreamReader::extract e zip::read::ZipArchive::extract até que o problema seja resolvido. Restrinja o acesso ao método extract para minimizar o risco de exploração.