CVE-2025-27553

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Commons VFS anteriores à 2.10.0

Descrição A API FileObject no Commons VFS possui um método resolveFile que recebe um parâmetro scope. Especificar NameScope.DESCENDENT garante que uma exceção será lançada se o arquivo resolvido não for descendente do arquivo base. No entanto, quando o caminho contém caracteres ".." codificados (por exemplo, "%2E%2E/bar.txt"), ele pode retornar objetos de arquivo que não são descendentes do arquivo base, sem lançar uma exceção.

Recomendações Para versões anteriores à 2.10.0, atualize para a versão 2.10.0, que corrige o problema. Como solução alternativa temporária, considere restringir o uso do método resolveFile com o escopo NameScope.DESCENDENT para minimizar o risco de exploração. Evite usar caracteres ".." codificados em caminhos passados ao método resolveFile até que o problema seja resolvido.