Elulq

**Nome do Software Vulnerável e Versões Afetadas** elFinder versões anteriores a 2.1.68 **Description** Uma injeção de SQL autenticada existe no driver de volume MySQL (`elFinderVolumeMySQL`). Este problema permite que qualquer usuário logado, incluindo aqueles com acesso apenas de leitura, injete comandos SQL por meio de um hash de arquivo manipulado passado através do parâmetro `target`. A falha ocorre porque os hashes de arquivos são decodificados sem validar se o resultado é um identificador de objeto MySQL válido antes de serem usados em consultas nas funções `cacheDir()`, ` joinPath()`, ` stat()` e ` fopen()`. Isso pode levar à divulgação não autorizada de dados acessíveis à conta MySQL, como conteúdos de arquivos e metadados do banco de dados, ou causar a negação de serviço devido ao consumo excessivo de memória resultante de consultas excessivamente amplas. Este problema afeta apenas instalações configuradas para usar o driver de volume MySQL; aquelas que utilizam o driver padrão `LocalFileSystem` não são afetadas. **Recommendations** Atualizar para a versão 2.1.68. Como mitigação temporária, restrinja o acesso ao driver `elFinderVolumeMySQL` ou evite o uso do parâmetro `target` no driver afetado até que a atualização seja aplicada.