CVE-2025-59352

Nome do Software Vulnerável e Versões Afetadas Versões do Dragonfly anteriores a 2.1.0

Descrição As APIs gRPC e HTTP do Dragonfly permitem que pares enviem solicitações que forçam o par receptor a criar arquivos em locais arbitrários do sistema de arquivos e a ler arquivos arbitrários. Isso pode permitir que pares roubem dados secretos e obtenham capacidades de execução remota de código (RCE) na máquina do par. A vulnerabilidade está relacionada à manipulação de arquivos dentro das funções os.OpenFile() e io.Copy(). O trecho de código mostra como o DataFilePath é usado para abrir um arquivo e como io.Copy() é usado para copiar dados para o arquivo, potencialmente permitindo a criação e modificação arbitrária de arquivos.

Recomendações Atualize para a versão 2.1.0 ou posterior.