CVE-2025-8406 in ZenML
Riassunto
di VulDB • 20/06/2026
La versione 0.83.1 di ZenML è affetta da una vulnerabilità di path traversal nella classe `PathMaterializer`. La funzione `load` utilizza `is_path_within_directory` per convalidare i file durante l'estrazione di `data.tar.gz`, ma non riesce a rilevare in modo efficace i collegamenti simbolici e i collegamenti rigidi (hard links). Questa vulnerabilità può portare a scritture arbitrarie di file, potenzialmente risultando nell'esecuzione di comandi arbitrari se file critici vengono sovrascritti.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.