Aegisduck

**Nome do software vulnerável e versões afetadas** Versões do piSignage anteriores à 2.6.4 **Descrição** A vulnerabilidade permite que um invasor remoto, autenticado como usuário com privilégios limitados, baixe arquivos arbitrários do Raspberry Pi. Isso é possível por meio de uma vulnerabilidade de traversal de caminho no endpoint “api/settings/log”, especificamente pela manipulação do parâmetro `file` com a sequência “../”. A vulnerabilidade está localizada na API do player para download de logs. **Recomendações** Para versões anteriores à 2.6.4, atualize para a versão 2.6.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “api/settings/log” ou desativar o recurso de download de logs até que um patch seja aplicado. Evite usar o parâmetro `file` no endpoint da API afetado até que o problema seja resolvido.