Ateamjkr

**Nome do Software Vulnerável e Versões Afetadas** Versões do SFTPGo anteriores à v2.6.5 **Descrição** O SFTPGo é uma solução de transferência de arquivos de código aberto e orientada a eventos que suporta a execução de um conjunto definido de comandos via SSH, incluindo o comando opcional `rsync`. Devido à ausência de sanitização do comando `rsync` fornecido pelo cliente, um usuário remoto autenticado pode usar algumas opções do comando `rsync` para ler ou escrever arquivos com as permissões do processo do servidor SFTPGo. **Recomendações** Para versões anteriores à v2.6.5, atualize para a versão v2.6.5 ou posterior para corrigir o problema verificando os argumentos fornecidos pelo cliente. Como medida temporária de contorno, considere desativar o comando `rsync` até que uma correção esteja disponível. Restrinja o acesso ao comando `rsync` para minimizar o risco de exploração. Evite usar o comando `rsync` com entrada não confiável até que o problema seja resolvido.