CVE-2026-44837

Nome do Software Vulnerável e Versões Afetadas view component versões 3.0.0 até 4.8.9

Descrição O ponto de entrada de teste do sistema canonicaliza um caminho de arquivo controlado pelo usuário usando File.realpath e verifica se o caminho resolvido começa com o caminho do diretório temporário. Esta verificação de contenção é insuficiente porque diretórios irmãos que compartilham o mesmo prefixo de string podem burlar a validação. Um invasor pode usar o parâmetro file no endpoint '/ system test entrypoint' para acessar e renderizar arquivos localizados em diretórios irmãos fora do diretório temporário pretendido. Este problema é especificamente limitado à rota de teste, que normalmente é montada apenas quando o ambiente está configurado no modo de teste.

Recomendações Atualize para a versão 4.9.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/ system test entrypoint' para minimizar o risco de exploração.