Pau Valls Peleteiro

**Nome do Software Vulnerável e Versões Afetadas** Versões da plataforma PMB 4.0.10 e superiores **Descrição** O problema está relacionado a uma vulnerabilidade de upload de arquivos sem restrições. Isso pode permitir que um atacante faça upload de um arquivo e obtenha acesso remoto à máquina, possibilitando acessar, modificar e executar comandos livremente. **Recomendações** Para as versões 4.0.10 e superiores, atualize para uma versão mais recente que contenha uma correção para este problema, a fim de proteger seu sistema. Como solução alternativa temporária, considere restringir as capacidades de upload de arquivos até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões da Plataforma PMB 4.2.13 e anteriores **Descrição** A falha permite que um invasor faça upload de um arquivo para o ambiente e enumere os arquivos internos de uma máquina ao analisar a resposta da requisição. Isso possibilita a exposição de informações na plataforma PMB. **Recomendações** Para as versões 4.2.13 e anteriores, como medida paliativa temporária, considere restringir a funcionalidade de upload de arquivos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões 4.0.10 e superiores da Plataforma PMB **Descrição** O problema reside na funcionalidade de upload de arquivos no endpoint `/pmb/authorities/import/iimport authorities`. Quando um arquivo é enviado por meio deste recurso, o servidor cria um arquivo temporário que deveria ser excluído após o cliente enviar uma requisição POST para `/pmb/authorities/import/iimport authorities`. No entanto, um atacante pode interceptar e enviar a segunda requisição POST para impedir que o arquivo temporário seja excluído. Isso permite que um atacante persista arquivos temporários no servidor. **Recomendações** Para as versões 4.0.10 e superiores da Plataforma PMB, como medida de contorno temporária, considere restringir o acesso ao endpoint `/pmb/authorities/import/iimport authorities` para minimizar o risco de exploração. Além disso, evite utilizar a funcionalidade de upload de arquivos até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.