Charmindoge

**Nome do software vulnerável e versões afetadas** rejetto HFS (também conhecido como HTTP File Server) versões anteriores à 0.52.10 **Descrição** A vulnerabilidade permite a execução de comandos do sistema operacional por usuários remotos autenticados que possuam permissões de upload. Isso ocorre porque um shell é usado para executar `df` com `execSync` em vez de `spawnSync` no `child process` no Node.js. Uma exploração de prova de conceito foi divulgada, representando uma ameaça significativa para sistemas que executam versões do HFS anteriores à 0.52.10 no Linux, UNIX e macOS. **Recomendações** Atualize para a versão 0.52.10 para permanecer protegido. Como solução temporária, considere restringir as permissões de upload para usuários remotos autenticados até que a atualização seja aplicada. Além disso, tenha cuidado ao usar a função `execSync` no Node.js, pois ela pode representar riscos de segurança se não for usada corretamente.