radare2 prior to 6.1.4 contains a path traversal vulnerability in its project notes handling that allows attackers to read or write files outside the configured project directory by importing a malicious .zrp archive containing a symlinked notes.txt file. Attackers can craft a .zrp archive with a symlinked notes.txt that bypasses directory confinement checks, allowing note operations to follow the symlink and access arbitrary files outside the dir.projects root directory.
radare2 versions before 6.1.4 contain a path traversal vulnerability in project notes handling that allows attackers to read or write arbitrary files by importing malicious .zrp archives with symlinked notes.txt files. This vulnerability bypasses directory confinement checks and enables unauthorized file access outside the configured project directory.
تؤثر هذه الثغرة على أداة تحليل البرامج الثنائية radare2 وتسمح بالوصول غير المصرح به للملفات من خلال استغلال معالجة الأرشيفات. يمكن للمهاجمين إنشاء أرشيفات .zrp ضارة تحتوي على روابط رمزية لتجاوز قيود الأمان وقراءة أو تعديل ملفات حساسة.
إصدارات radare2 السابقة للإصدار 6.1.4 تحتوي على ثغرة اجتياز المسار في معالجة ملاحظات المشروع التي تسمح للمهاجمين بقراءة أو كتابة ملفات عشوائية عن طريق استيراد أرشيفات .zrp ضارة. تتجاوز هذه الثغرة فحوصات حبس الدليل وتمكن الوصول غير المصرح به للملفات خارج دليل المشروع المكون.
Update radare2 to version 6.1.4 or later immediately. Implement strict validation of archive contents before extraction, disable symlink following in project directories, restrict .zrp file imports to trusted sources only, and monitor file access patterns for suspicious activity.
قم بتحديث radare2 إلى الإصدار 6.1.4 أو أحدث فوراً. قم بتنفيذ التحقق الصارم من محتويات الأرشيف قبل الاستخراج، وتعطيل متابعة الروابط الرمزية في دلائل المشروع، وتقييد استيراد ملفات .zrp للمصادر الموثوقة فقط، ومراقبة أنماط الوصول للملفات للكشف عن النشاط المريب.