CVE-2026-42275

Nome do Software Vulnerável e Versões Afetadas zrok versões anteriores a 2.0.2

Descrição O backend de drive WebDAV do zrok davServer.Dir restringe a travessia de diretórios por meio de normalização léxica, mas não impede o seguimento de links simbólicos (symlinks). Quando um link simbólico dentro do DriveRoot compartilhado aponta para um local fora dessa raiz, consumidores WebDAV remotos podem ler arquivos. Em compartilhamentos sem restrições de permissão no nível do sistema operacional, invasores também podem gravar ou sobrescrever arquivos em qualquer lugar do sistema de arquivos do host acessível ao processo zrok. Isso ocorre porque o manipulador PUT do WebDAV abre arquivos com O RDWR|O CREATE|O TRUNC. O problema afeta as funções Dir.OpenFile(), Dir.Stat(), Dir.Mkdir() e Dir.RemoveAll() em drives/davServer/file.go, bem como NewBackend() em endpoints/drive/backend.go.

Recomendações Atualize para a versão 2.0.2.