J3Ssie

**Nome do Software Vulnerável e Versões Afetadas** Versões do esm.sh anteriores à 136 **Descrição** Foi identificada uma vulnerabilidade de Inclusão de Arquivo Local (LFI) no tratamento de URL do serviço esm.sh. Um atacante poderia elaborar uma requisição que faz com que o servidor leia e retorne arquivos do sistema de arquivos do host ou de outras fontes de arquivos não intencionais. O código vulnerável está localizado em `router.go` na linha 1168. Um atacante pode explorar isso enviando uma requisição elaborada para ler arquivos locais, como `/etc/passwd` ou `esm.db`. A vulnerabilidade é acionada pela inclusão de `..` no caminho da URL. **Recomendações** Remova qualquer `..` no caminho da URL antes de processar o arquivo.

**Nome do Software Vulnerável e Versões Afetadas** Versões 136 e anteriores do esm.sh **Descrição** Existe uma falha de path-traversal no tratamento do cabeçalho HTTP `X-Zone-Id`. O valor do cabeçalho é usado para construir um caminho no sistema de arquivos sem a sanitização adequada ou restrição ao diretório de armazenamento da aplicação. O fornecimento de sequências `../` no cabeçalho `X-Zone-Id` permite que um atacante grave arquivos em diretórios arbitrários. O código vulnerável está localizado em `router.go` nas linhas 116 e 411. Isso pode levar à criação ou sobrescrita arbitrária de arquivos fora do diretório de armazenamento pretendido, possibilitando potencialmente a execução remota de código, persistência ou adulteração de arquivos da aplicação. **Recomendações** Remova quaisquer sequências `..` do cabeçalho `X-Zone-Id` antes de processar o arquivo.