Bwlryq

**Nome do Software Vulnerável e Versões Afetadas** Versões do YesWiki até e incluindo a 4.4.5 **Descrição** A vulnerabilidade permite que qualquer usuário autenticado remova conteúdo arbitrariamente do Wiki, resultando em perda parcial de dados e defacement/deterioração do website. Isso é possível através do uso do gerenciador de arquivos, que não sanitiza ou verifica adequadamente o caminho fornecido pelo usuário, permitindo que um usuário malicioso especifique qualquer arquivo arbitrário no sistema de arquivos para exclusão. A vulnerabilidade pode ser explorada acessando o `filemanager` e utilizando a função `fmErase()`, que não restringe a exclusão a diretórios ou arquivos específicos. Em uma instalação padrão, isso poderia permitir que um usuário malicioso excluísse arquivos PHP importantes, como `index.php` ou arquivos do núcleo do YesWiki, interrompendo completamente o acesso ao wiki. **Recomendações** Para as versões do YesWiki até e incluindo a 4.4.5, considere atualizar para a versão 4.5.0, que contém uma correção para esta vulnerabilidade. Como medida temporária, restrinja os caminhos possíveis da função `fmErase()` ao diretório `upload path` e limite seu uso apenas a arquivos descartados. Além disso, garanta que qualquer solicitação para `fmErase()` ou `fmDelete()` seja originada pelo proprietário do recurso ao qual o anexo está vinculado.