CVE-2025-32779

Nome do Software Vulnerável e Versões Afetadas Versões do E.D.D.I anteriores à 5.5.0

Descrição O problema está relacionado a uma vulnerabilidade Zip Slip no middleware E.D.D.I, que conecta e gerencia bots de API de LLM. Um atacante com acesso ao endpoint da API "/backup/import" pode gravar arquivos arbitrários em locais fora do diretório de extração pretendido. Embora a aplicação seja executada como um usuário não root, limitando o impacto direto em arquivos de nível de sistema, essa vulnerabilidade ainda pode ser explorada para sobrescrever arquivos da aplicação, como bibliotecas JAR, pertencentes ao usuário da aplicação. Essa sobrescrita pode potencialmente levar à Execução Remota de Código (RCE) dentro do contexto da aplicação.

Recomendações Para versões anteriores à 5.5.0, atualize para a versão 5.5.0 para resolver o problema. Como medida temporária, considere restringir o acesso ao endpoint da API "/backup/import" para minimizar o risco de exploração. Além disso, restringir o acesso aos componentes vulneráveis do middleware pode ajudar a mitigar o risco até que uma correção seja aplicada.