CVE-2026-57079

Nome do Software Vulnerável e Versões Afetadas Net::BitTorrent versões anteriores a 2.0.2

Description Existe um problema onde arquivos podem ser gravados fora do diretório de download designado devido ao traversal de caminho em metadados fornecidos por pares. Embora os componentes do caminho do arquivo sejam validados durante a ingestão do arquivo .torrent, o caminho de metadados manipulado pela função on metadata received() (acessada via extensão BEP09 ut metadata) passa nomes de arquivos fornecidos por atacantes diretamente para Storage::add file() e Storage:: parse file tree(). Como a função child() no Path::Tiny não colapsa segmentos "..", uma chave de árvore de arquivos v2, um elemento files[].path v1 ou um nome de arquivo único contendo esses segmentos pode resolver para locais fora do diretório de download. Como o par também controla os hashes de pedaços e os bytes servidos, a verificação de conteúdo é ignorada, permitindo que um atacante grave conteúdo arbitrário em um caminho arbitrário no host.

Recommendations Atualize o Net::BitTorrent para uma versão posterior a 2.0.1.