Correção de vulnerabilidade de Path traversal attack

yuri-lucena · yuri-lucena · commit 47894a89b789 · 2025-11-05T16:27:54.000-03:00
diff --git a/DFe.Utils/FuncoesXml.cs b/DFe.Utils/FuncoesXml.cs
@@ -84,6 +84,11 @@ public static T ArquivoXmlParaClasse<T>(string arquivo, bool ignorarOrdenacaoEle
                 serializador = BuscarNoCache(keyNomeClasseEmUso, typeof(T));
             }
 
+            if(arquivo.Contains("../") || arquivo.Contains("..\\"))
+            {
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+            }
+
             var stream = new FileStream(arquivo, FileMode.Open, FileAccess.Read, FileShare.ReadWrite);
             try
             {
diff --git a/Dev.VersaoAssemblies/ProgramMain.cs b/Dev.VersaoAssemblies/ProgramMain.cs
@@ -91,6 +91,11 @@ private static void FazerAlteracaoDasVersoes(string versaoString)
 
         private static void AlterarVersaoDoAssembly(string infoFile, string versaoString)
         {
+            if(infoFile.Contains("../") || infoFile.Contains("..\\"))
+            {
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+            }
+
             var content = File.ReadAllText(infoFile);
 
             var regexVersion = new Regex("assembly: AssemblyVersion.+\\)", RegexOptions.IgnoreCase);
diff --git a/NFe.Danfe.AppTeste.OpenFast/Funcoes.cs b/NFe.Danfe.AppTeste.OpenFast/Funcoes.cs
@@ -23,6 +23,11 @@ public static string BuscarArquivoXml(string caminho)
                 throw new Exception("Caminho do arquivo incorreto! Arquivo não foi encontrado.");
             }
 
+            if(caminho.Contains("../") || caminho.Contains("..\\"))
+            {
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+            }
+
             return File.ReadAllText(caminho);
         }
 
@@ -36,6 +41,12 @@ public static void SalvaArquivoGerado(string caminhoXmlAnterior, string extensao
             //https://github.com/FastReports/FastReport/blob/master/Demos/OpenSource/FastReport.OpenSource.Web.Vue/Controllers/ReportsController.cs
 
             var caminhoArquivo = Path.GetDirectoryName(ArrumaCaminho(caminhoXmlAnterior)) + "/generated" + DateTime.Now.ToString("ddMMyyyy_HHmmss") + extensao;
+
+            if(caminhoArquivo.Contains("../") || caminhoArquivo.Contains("..\\"))
+            {
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+            }
+            
             File.WriteAllBytes(caminhoArquivo, bytes);
 
             Console.Clear();
diff --git a/NFe.Danfe.Html/CrossCutting/Utils.cs b/NFe.Danfe.Html/CrossCutting/Utils.cs
@@ -73,6 +73,11 @@ public static T XmlStringParaClasse<T>(string input) where T : class
         /// <param name="nomeArquivo">Nome do arquivo</param>
         public static void DelatarArquivo(string caminho, string nomeArquivo)
         {
+            if(caminho.Contains("../") || caminho.Contains("..\\"))
+            {
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+            }
+
             var c1 = Path.Combine(caminho, nomeArquivo);
             File.Delete(c1);
         }
@@ -91,6 +96,9 @@ public static void EscreverArquivo(string caminho, string nomeArquivo, string co
                 throw new ArgumentNullException(nameof(nomeArquivo), "O nome do arquivo deve ser informado");
             if (conteudo == null)
                 throw new ArgumentNullException(nameof(conteudo), "O conteúdo do arquivo deve ser informado");
+            if(caminho.Contains("../") || caminho.Contains("..\\"))
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+                    
             CriarPastaSeNaoExistir(caminho);
             var encodedText = Encoding.UTF8.GetBytes(conteudo);
             var c1 = Path.Combine(caminho, nomeArquivo); // Combina caminho do arquivo como nome do arquivo
diff --git a/NFe.Danfe.PdfClown/DanfeDoc.cs b/NFe.Danfe.PdfClown/DanfeDoc.cs
@@ -107,6 +107,11 @@ public void AdicionarLogoPdf(string path)
         {
             if (string.IsNullOrWhiteSpace(path)) throw new ArgumentException(nameof(path));
 
+            if(path.Contains("../") || path.Contains("..\\"))
+            {
+                throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");
+            }
+
             using (var fs = new System.IO.FileStream(path, System.IO.FileMode.Open, System.IO.FileAccess.Read))
             {
                 AdicionarLogoPdf(fs);
diff --git a/NFe.Integracao/Program.cs b/NFe.Integracao/Program.cs
@@ -490,6 +490,12 @@ private static void EnviarNFe(string dadosDoEnvio)
 
             try
             {
+                if(strPathArquivoXml.Contains("../") || strPathArquivoXml.Contains("..\\"))
+                {
+                    Console.WriteLine("Caminho do arquivo não pode conter ../ ou ..\\");
+                    return;
+                }
+                
                 File.ReadAllText(strPathArquivoXml);
             }
             catch (UnauthorizedAccessException ex)

Original file line number	Diff line number	Diff line change
`@@ -84,6 +84,11 @@ public static T ArquivoXmlParaClasse<T>(string arquivo, bool ignorarOrdenacaoEle`
`84`	`84`	`serializador = BuscarNoCache(keyNomeClasseEmUso, typeof(T));`
`85`	`85`	`}`
`86`	`86`
	`87`	`+ if(arquivo.Contains("../") \|\| arquivo.Contains("..\\"))`
	`88`	`+ {`
	`89`	`+ throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");`
	`90`	`+ }`
	`91`	`+`
`87`	`92`	`var stream = new FileStream(arquivo, FileMode.Open, FileAccess.Read, FileShare.ReadWrite);`
`88`	`93`	`try`
`89`	`94`	`{`
Original file line number	Diff line number	Diff line change
`@@ -107,6 +107,11 @@ public void AdicionarLogoPdf(string path)`
`107`	`107`	`{`
`108`	`108`	`if (string.IsNullOrWhiteSpace(path)) throw new ArgumentException(nameof(path));`
`109`	`109`
	`110`	`+ if(path.Contains("../") \|\| path.Contains("..\\"))`
	`111`	`+ {`
	`112`	`+ throw new Exception("Caminho do arquivo não pode conter ../ ou ..\\");`
	`113`	`+ }`
	`114`	`+`
`110`	`115`	`using (var fs = new System.IO.FileStream(path, System.IO.FileMode.Open, System.IO.FileAccess.Read))`
`111`	`116`	`{`
`112`	`117`	`AdicionarLogoPdf(fs);`
Original file line number	Diff line number	Diff line change
`@@ -490,6 +490,12 @@ private static void EnviarNFe(string dadosDoEnvio)`
`490`	`490`
`491`	`491`	`try`
`492`	`492`	`{`
	`493`	`+ if(strPathArquivoXml.Contains("../") \|\| strPathArquivoXml.Contains("..\\"))`
	`494`	`+ {`
	`495`	`+ Console.WriteLine("Caminho do arquivo não pode conter ../ ou ..\\");`
	`496`	`+ return;`
	`497`	`+ }`
	`498`	`+`
`493`	`499`	`File.ReadAllText(strPathArquivoXml);`
`494`	`500`	`}`
`495`	`501`	`catch (UnauthorizedAccessException ex)`