Unknown · Psitransfer · CVE-2024-31453
**Nome do software vulnerável e versões afetadas**
Versões do PsiTransfer anteriores à 2.2.0
**Descrição**
O problema decorre da ausência de restrições no endpoint “POST /files”, o que permite aos usuários criar um caminho para o upload de um arquivo em uma distribuição de arquivos. Isso permite que um invasor adicione arquivos arbitrários à distribuição, potencialmente afetando usuários que acessarem a distribuição posteriormente e expondo-os a arquivos maliciosos ou de phishing. A exploração envolve a criação de uma distribuição de arquivos, a obtenção do ID da distribuição e, em seguida, o envio de uma solicitação POST para o endpoint vulnerável com o ID especificado no cabeçalho `Upload-Metadata`. O invasor pode então enviar uma solicitação PATCH para fazer upload de conteúdo arbitrário.
**Recomendações**
Para versões do PsiTransfer anteriores à 2.2.0, atualize para a versão 2.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “POST /files” para minimizar o risco de exploração. Evite usar o parâmetro `sid` no cabeçalho `Upload-Metadata` até que o problema seja resolvido.