Alexandre Droullã©

**Nome do software vulnerável e versões afetadas** Asial JpGraph Professional versões 4.2.6-pro e anteriores **Descrição** A vulnerabilidade permite que invasores remotos executem código arbitrário por meio de uma carga de PHP no parâmetro `data`, em conjunto com um nome de arquivo .php no parâmetro `filename`. Isso ocorre porque uma pasta QR/demoapp desnecessária é fornecida com o produto. **Recomendações** Para as versões 4.2.6-pro e anteriores do Asial JpGraph Professional, considere remover ou restringir o acesso à pasta QR/demoapp como uma solução temporária até que um patch esteja disponível. Evite usar o parâmetro `data` em conjunto com um nome de arquivo .php no parâmetro `filename` no endpoint da API afetado até que o problema seja resolvido.