CVE-2026-42351

Nome do Software Vulnerável e Versões Afetadas pygeoapi versões 0.23.0 a 0.23.2

Descrição Um problema de concatenação de string de caminho bruto no plugin STAC FileSystemProvider permite que solicitações a coleções baseadas em coleções STAC exponham diretórios sem autenticação. Isso ocorre quando o servidor é implantado sem um proxy ou front-end web para normalizar URLs que contenham valores .. e possui um recurso do tipo stac-collection definido na configuração.

Recomendações Atualize para a versão 0.23.3. Como alternativa temporária, desative os recursos baseados em coleções STAC na configuração.