CVE-2025-2886

Nome do Software Vulnerável e Versões Afetadas versões do tough anteriores a 0.20.0

Descrição O problema surge da falta de validação de delegação terminadora, fazendo com que o cliente continue pesquisando na lista de delegações definida mesmo após encontrar uma delegação terminadora. Isso pode levar o cliente a buscar um alvo de uma fonte incorreta, alterando o conteúdo do alvo. Delegações são um mecanismo que permite que múltiplas identidades forneçam e assinem conteúdo dentro de um único repositório, sendo que delegações terminadoras e prioridade de delegação conferem controle inequívoco sobre como delegações sobrepostas são resolvidas. No entanto, o cliente tough, erroneamente, não encerra a pesquisa conforme necessário e aceita informações de uma delegação de prioridade mais baixa que deveria ter sido ignorada. Ao interagir com repositórios que utilizam delegações, o cliente tough pode buscar alvos pertencentes à função incorreta, permitindo que um ator com propriedade delegada forneça conteúdos arbitrários.

Recomendações Para versões anteriores a 0.20.0, atualize para a versão 0.20.0 ou posterior do tough e garanta que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.