CVE-2025-30343

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSlides anteriores à 4.2.5

Descrição Foi descoberta uma vulnerabilidade de traversia de diretório no OpenSlides. A interface permite que os usuários baixem um arquivo ZIP que contém todos os arquivos em uma pasta e suas subpastas. Se um atacante especificar o título de um arquivo ou pasta como um caminho relativo ou absoluto (por exemplo, ../../../etc/passwd), o arquivo ZIP gerado para download converte esse título em um caminho. Dependendo da ferramenta de extração utilizada pelo usuário, isso pode sobrescrever arquivos localmente fora do diretório escolhido.

Recomendações Para versões anteriores à 4.2.5, atualize para a versão 4.2.5 ou posterior para resolver o problema. Como solução temporária (workaround), considere evitar o uso de caminhos relativos ou absolutos em títulos de arquivos ou pastas para minimizar o risco de exploração. Restrinja o acesso a arquivos e pastas sensíveis para prevenir a possível sobrescrita de arquivos localmente fora do diretório escolhido.