CVE-2024-12905

Nome do Software Vulnerável e Versões Afetadas Versões do tar-fs de 0.0.0 até 1.16.3 Versões do tar-fs de 2.0.0 até 2.1.1 Versões do tar-fs de 3.0.0 até 3.0.7

Descrição Este problema está relacionado à Resolução Imprópria de Link Antes do Acesso ao Arquivo ("Link Following") e à Limitação Imprópria de um Caminho para um Diretório Restrito ("Path Traversal"). A vulnerabilidade ocorre durante a extração de um arquivo tar maliciosamente construído, o que pode resultar em gravações ou sobrescritas de arquivos não autorizadas fora do diretório de extração pretendido. O problema está associado ao arquivo index.js no pacote tar-fs.

Recomendações Para as versões do tar-fs de 0.0.0 até 1.16.3, atualize para a versão 1.16.4 ou posterior. Para as versões do tar-fs de 2.0.0 até 2.1.1, atualize para a versão 2.1.2 ou posterior. Para as versões do tar-fs de 3.0.0 até 3.0.7, atualize para a versão 3.0.8 ou posterior. Como solução temporária, considere desabilitar a extração de arquivos tar até que uma correção esteja disponível. Restrinja o acesso ao arquivo index.js no pacote tar-fs para minimizar o risco de exploração.