CVE-2026-34730

Nome do Software Vulnerável e Versões Afetadas Copier versões anteriores a 9.14.1

Descrição A funcionalidade external data no Copier permite que templates carreguem arquivos YAML usando caminhos controlados pelo template. Isso pode permitir que um template malicioso leia arquivos YAML legíveis localmente acessíveis ao usuário que executa o Copier, expondo potencialmente seu conteúdo na saída renderizada. O problema ocorre porque não há verificação de contenção para garantir que o caminho resultante permaneça dentro do destino do subprojeto. Isso permite a travessia de diretório pai (por exemplo, '../secret.yml') e a leitura de caminhos absolutos (por exemplo, '/tmp/secret.yml'). A vulnerabilidade existe mesmo sem usar a flag --UNSAFE.

Recomendações Atualize o Copier para a versão 9.14.1 ou posterior.