Hadi Mene

**Nome do software vulnerável e versões afetadas** Roxy Fileman versão 1.4.6 **Descrição** A vulnerabilidade permite a execução remota de código por meio do upload de um arquivo .phar. Isso ocorre porque o valor padrão de FORBIDDEN UPLOADS no arquivo conf.json bloqueia apenas arquivos .php, .php4 e .php5. Em algumas configurações de servidor web, acessar qualquer arquivo .phar invoca o interpretador PHP. **Recomendações** Para o Roxy Fileman versão 1.4.6, considere atualizar o valor de FORBIDDEN UPLOADS no conf.json para incluir arquivos .phar, a fim de impedir a execução remota de código por meio de uploads de arquivos .phar. Como solução temporária, restrinja o acesso a arquivos .phar para minimizar o risco de exploração.