CVE-2026-37531

Nome do Software Vulnerável e Versões Afetadas AGL app-framework-main versões 17.1.12 e anteriores

Descrição Um problema de travessia de caminho Zip Slip combinado com uma condição de corrida de Tempo de Verificação ao Tempo de Uso (TOCTOU) existe no fluxo de instalação de widgets. A função is valid filename() em wgtpkg-zip.c não verifica sequências de travessia de diretório por notação de ponto, bloqueando apenas caminhos absolutos. Consequentemente, a função de extração zread() utiliza openat(workdirfd, filename, O CREAT), que resolve a notação de ponto em relação ao diretório de trabalho, permitindo que arquivos sejam gravados em qualquer lugar do sistema de arquivos. Na função install widget() no arquivo wgtpkg-install.c, a extração via zread() ocorre antes da verificação de assinatura via check all signatures(). Mesmo que a verificação de assinatura falhe, o processo de limpeza remove workdir() exclui apenas o diretório de trabalho temporário, fazendo com que arquivos gravados fora desse diretório via travessia de caminho persistam permanentemente no sistema.

Recomendações Atualize para uma versão posterior à 17.1.12. Como medida paliativa temporária, restrinja as permissões de gravação no sistema de arquivos para minimizar o risco de gravações arbitrárias de arquivos durante a instalação de widgets.