CVE-2025-54798

Nome do Software Vulnerável e Versões Afetadas Versões do tmp 0.2.3 e anteriores

Descrição O módulo tmp do Node.js nas versões 0.2.3 e anteriores é suscetível a uma vulnerabilidade de gravação arbitrária de arquivo/diretório temporário devido ao tratamento inadequado de links simbólicos durante a resolução de caminhos. Especificamente, a função resolvePath não trata adequadamente os links simbólicos, permitindo que um agente malicioso contorne as restrições previstas para os locais de criação de arquivos temporários. Ao fornecer um parâmetro dir que aponta para um link simbólico que resolve para um diretório fora do diretório temporário designado, um atacante pode gravar arquivos temporários em locais arbitrários no sistema.

Recomendações Atualize para a versão 0.2.4 ou posterior para corrigir esta vulnerabilidade.