CVE-2025-14728

Nome do Software Vulnerável e Versões Afetadas Versões do Rapid7 Velociraptor anteriores à 0.75.6

Descrição Versões do Rapid7 Velociraptor anteriores à 0.75.6 contêm uma vulnerabilidade de travessia de diretório em servidores Linux. Isso permite que um cliente malicioso faça upload de um arquivo que é gravado fora do diretório de datastore pretendido. O problema decorre de uma sanitização inadequada de nomes de diretório que terminam com um ".", onde apenas o "." final é codificado como "%2E". Embora os arquivos possam ser gravados em locais incorretos, o diretório contenedor deve terminar com "%2E", limitando o impacto potencial e impedindo a sobrescrita de arquivos críticos.

Recomendações As versões do Rapid7 Velociraptor anteriores à 0.75.6 devem ser atualizadas para a versão 0.75.6 ou posterior.