CVE-2024-5752

Nome do Software Vulnerável e Versões Afetadas titutionai/devika versão beacf6edaa205a5a5370525407a6db45137873b3

Descrição Existe uma vulnerabilidade de path traversal na funcionalidade de criação de projetos, na qual o nome do projeto não é validado. Isso permite que um atacante crie um projeto com um nome manipulado que traversa diretórios, potencialmente levando à sobrescrita arbitrária de arquivos quando a aplicação gera código e o salva no diretório do projeto especificado. Isso poderia resultar em execução remota de código.

Recomendações Para a versão beacf6edaa205a5a5370525407a6db45137873b3, considere validar os nomes dos projetos para prevenir traversão de diretórios e garanta que o código gerado seja salvo em um local seguro e não acessível até que um patch esteja disponível. Como solução temporária (workaround), restrinja a funcionalidade de criação de projetos apenas a usuários autorizados.