Kirill Efimov

**Nome do software vulnerável e versões afetadas** pistacheio/pistache versões anteriores à 0.0.3.20220425 **Descrição** A vulnerabilidade permite a traversal de diretórios, possibilitando a obtenção de arquivos arbitrários do servidor. Trata-se de um problema de segurança significativo, pois pode levar ao acesso não autorizado a dados confidenciais. **Recomendações** Para versões anteriores à 0.0.3.20220425, atualize para a versão 0.0.3.20220425 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais no servidor para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: github.com/kataras/iris versões anteriores à versão corrigida github.com/kataras/iris/v12 versões anteriores à versão corrigida Descrição: O problema decorre do tratamento inseguro de nomes de arquivos durante o upload utilizando o método `UploadFormFiles`, o que pode permitir que invasores gravem em locais arbitrários fora da pasta de destino designada. Essa vulnerabilidade pode ser explorada por meio de ataques de traversal de diretório. A função `Context.UploadFormFiles` é especificamente vulnerável a esse tipo de ataque. Observa-se que essa vulnerabilidade foi mitigada nas versões 1.17 e posteriores do Go, pois elas removem os caminhos de diretório dos nomes de arquivo retornados por `mime/multipart`.Part.FileName. Recomendações: Para versões do github.com/kataras/iris anteriores à versão corrigida, considere desativar o método `UploadFormFiles` até que um patch esteja disponível. Para versões do github.com/kataras/iris/v12 anteriores à versão corrigida, considere desativar o método `UploadFormFiles` até que um patch esteja disponível. Como solução alternativa temporária, restrinja o tratamento de uploads de arquivos para impedir a gravação em locais arbitrários fora da pasta de destino designada.