Bonggoo Kang

**Nome do software vulnerável e versões afetadas** DEXT5Upload versões 2.7.1262310 e anteriores **Descrição** A vulnerabilidade permite que arquivos remotos sejam baixados por meio de uma ação “dext5CMD=downloadRequest” com traversal no parâmetro `fileVirtualPath`, desde que o invasor possua o valor correto de `fileOrgName`. Isso se deve a uma vulnerabilidade de traversal de diretório no arquivo handler/dext5handler.jsp. **Recomendações** Para as versões 2.7.1262310 e anteriores, como solução temporária, considere restringir o acesso ao arquivo handler/dext5handler.jsp até que um patch esteja disponível. Evite usar o parâmetro `fileVirtualPath` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.