0Xvpr

**Name of the Vulnerable Software and Affected Versions** ZimaOS versions prior to 1.4.2 **Description** ZimaOS, a fork of CasaOS, is susceptible to a file read issue. The `/v2 1/files/file/download` API endpoint allows unauthorized file access from any user with localhost access. File reads are executed with root privileges. **Recommendations** Update ZimaOS to version 1.4.2 or later. As a temporary workaround, restrict access to the `/v2 1/files/file/download` endpoint.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ZimaOS anteriores à 1.4.1 **Descrição** O ZimaOS, um fork do CasaOS, está suscetível a um problema de upload de arquivos. O endpoint da API `/v2 1/files/file/uploadV2` permite uploads de arquivos de qualquer usuário com acesso ao localhost, e esses uploads são executados com privilégios de root. **Recomendações** Atualize o ZimaOS para a versão 1.4.1 ou posterior.