CVE-2024-8769

Nome do Software Vulnerável e Versões Afetadas aimhubio/aim versão bb76afe

Descrição Uma vulnerabilidade na função LockManager.release locks permite a exclusão arbitrária de arquivos através de atravessamento de caminho relativo. O parâmetro run hash, que é controlável pelo usuário, é concatenado sem normalização como parte de um caminho usado para especificar a exclusão de arquivos. Esta vulnerabilidade é exposta através do método Repo. close run(), acessível via API de instruções do servidor de rastreamento. Como resultado, um atacante pode explorar isso para excluir qualquer arquivo arbitrário na máquina que executa o servidor de rastreamento.

Recomendações Como solução temporária, considere desabilitar a função LockManager.release locks até que uma correção esteja disponível. Restrinja o acesso ao método Repo. close run() para minimizar o risco de exploração. Evite usar o parâmetro run hash no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.