CVE-2025-11849

Nome do Software Vulnerável e Versões Afetadas versões do mammoth de 0.3.25 a 1.10.9 versões do mammoth anteriores a 1.11.0 versões do org.zwobble.mammoth:mammoth de 0.3.25 a 1.10.9 versões do org.zwobble.mammoth:mammoth anteriores a 1.11.0

Descrição A biblioteca mammoth está suscetível a um problema de Directory Traversal devido à validação insuficiente de caminhos e tipos de arquivo ao processar arquivos docx contendo imagens com links externos (atributo r:link em vez de r:embed incorporado). A biblioteca resolve o URI para um caminho de arquivo e, em seguida, lê o conteúdo, codificando-o em base64 para inclusão na saída HTML como um data URI. Um atacante poderia potencialmente ler arquivos arbitrários no sistema onde a conversão ocorre ou causar consumo excessivo de recursos criando um arquivo docx que aponta para arquivos de dispositivo especiais como /dev/random ou /dev/zero.

Recomendações Atualize para a versão 1.11.0 ou posterior do mammoth. Atualize para a versão 1.11.0 ou posterior do org.zwobble.mammoth:mammoth.