PT-2026-2107 · Werkzeug · Werkzeug
Yueyuel
·
Publicado
2026-01-08
·
Atualizado
2026-06-03
·
CVE-2026-21860
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Werkzeug anteriores a 3.1.5
Descrição
A função
safe join do Werkzeug trata inadequadamente segmentos de caminho contendo nomes de dispositivos do Windows com extensões de arquivo ou espaços no final. Nomes de dispositivos do Windows, como CON e AUX, estão implicitamente presentes e são legíveis em qualquer diretório, sendo aceitos com extensões de arquivo (por exemplo, CON.txt) ou espaços no final (por exemplo, CON ). Isso pode resultar em acesso não autorizado ou manipulação de recursos do sistema.Recomendações
Atualize o Werkzeug para a versão 3.1.5 ou posterior.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Werkzeug