CVE-2026-6968

Name of the Vulnerable Software and Affected Versions awslabs/tough versões anteriores a 0.22.0

Description Correções incompletas de path traversal permitem que usuários remotos autenticados com autoridade de assinatura delegada escrevam arquivos fora dos diretórios de saída pretendidos. Isso ocorre porque os caminhos de gravação confiam no caminho de destino unido sem a verificação de contenção pós-resolução. O problema pode ser acionado por meio de nomes de destino absolutos em 'copy target/link target', diretórios pai com links simbólicos em 'save target' ou nomes de arquivos de metadados com links simbólicos na função SignedRole::write.

Recommendations Atualizar para a versão 0.22.0.