Jdorn

**Nome do software vulnerável e versões afetadas** Versões do GrowthBook anteriores a 29/08/2022 **Descrição** O GrowthBook é uma plataforma de código aberto para sinalização de recursos e testes A/B. Em algumas configurações auto-hospedadas, os invasores podem criar novas contas e fazer upload de arquivos para diretórios arbitrários dentro do contêiner. Se o invasor enviar um script Python para o local correto, ele poderá executar código arbitrário dentro do contêiner. Para que haja vulnerabilidade, TODAS as condições a seguir devem ser verdadeiras: implantação auto-hospedada (o GrowthBook Cloud não é afetado); uso de envios de arquivos locais (em vez de S3 ou Google Cloud Storage); NODE ENV definido como um valor que não seja de produção e `JWT SECRET` definido como uma string facilmente adivinhável, como `dev`. **Recomendações** Como solução temporária, defina a variável de ambiente `JWT SECRET` como uma longa sequência aleatória para impedir uploads arbitrários de arquivos. Atualize para a versão mais recente para impedir que invasores registrem contas.