Inc0X0

**Nome do software vulnerável e versões afetadas** Versões do BookStack anteriores à 0.25.5 **Descrição** Um usuário poderia enviar arquivos PHP por meio das funções de envio de imagens, o que lhe permitiria executar código no sistema host remotamente. Assim, ele passaria a ter as permissões do processo PHP. Isso afeta principalmente cenários em que usuários não confiáveis têm permissão para enviar imagens em qualquer área do aplicativo. **Recomendações** Para versões do BookStack anteriores à 0.25.5, atualize para pelo menos a versão 0.25.5 para evitar esse problema. Como solução temporária, considere usar a opção de armazenamento de imagens local secure ou utilize o s3 ou um serviço compatível semelhante. Impedir a execução direta de quaisquer arquivos `php`, exceto o arquivo `public/index.php`, por meio da configuração do servidor web.