Highpixelmaxqm

**Nome do software vulnerável e versões afetadas** gin-vue-admin versões 2.6.1 e anteriores **Descrição** A vulnerabilidade consiste em uma injeção de código no backend do gin-vue-admin, especificamente no recurso Plugin System -> Plugin Template. Um invasor pode realizar traversal de diretório manipulando o parâmetro `plugName`, o que lhe permite criar pastas específicas e inserir código arbitrário em arquivos Go dentro dessas pastas. A vulnerabilidade existe devido à controlabilidade do campo `plugName` dentro da estrutura. **Recomendações** Para a versão 2.6.1 do gin-vue-admin, atualize para uma versão que contenha o patch para este problema, especificamente a pseudoversão 0.0.0-20240409100909-b1b7427c6ea6 ou posterior. Como solução temporária para versões anteriores à versão corrigida, considere usar um método de filtragem para corrigir o problema de traversal de diretório, como verificar a presença de “..” na variável `plugPath`.