CVE-2025-27410

Nome do Software Vulnerável e Versões Afetadas Versões do PwnDoc anteriores à 1.2.0

Descrição O problema diz respeito à funcionalidade de restauração de backup, que é vulnerável a path traversal no nome da entrada do TAR. Isso permite que um invasor sobrescreva qualquer arquivo no sistema com seu próprio conteúdo, podendo levar à Execução Remota de Código com privilégios de administrador. A vulnerabilidade pode ser explorada sobrescrevendo um arquivo .js incluído e reiniciando o contêiner. Ela afeta usuários com as permissões backups:create e backups:update, que, por padrão, são atribuídas apenas a administradores.

Recomendações Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 para resolver o problema. Como medida paliativa temporária, considere restringir as permissões backups:create e backups:update para prevenir possível exploração. Adicionalmente, evite utilizar a funcionalidade de restauração de backup até que a atualização seja aplicada.