CVE-2025-59342

Nome do Software Vulnerável e Versões Afetadas Versões 136 e anteriores do esm.sh

Descrição Existe uma falha de path-traversal no tratamento do cabeçalho HTTP X-Zone-Id. O valor do cabeçalho é usado para construir um caminho no sistema de arquivos sem a sanitização adequada ou restrição ao diretório de armazenamento da aplicação. O fornecimento de sequências ../ no cabeçalho X-Zone-Id permite que um atacante grave arquivos em diretórios arbitrários. O código vulnerável está localizado em router.go nas linhas 116 e 411. Isso pode levar à criação ou sobrescrita arbitrária de arquivos fora do diretório de armazenamento pretendido, possibilitando potencialmente a execução remota de código, persistência ou adulteração de arquivos da aplicação.

Recomendações Remova quaisquer sequências .. do cabeçalho X-Zone-Id antes de processar o arquivo.