Pondzikko

**Nome do software vulnerável e versões afetadas** CraftBeerPi 4, versões 4.0.0.58 a 4.4.1.a1 **Descrição** O problema decorre do uso do parâmetro GET de URL `logtime` na função “downloadlog” do arquivo “cbpi/http endpoints/http system.py”. Esse parâmetro é posteriormente passado para a função `os.system` em “cbpi/controller/system controller.py” sem validação prévia, permitindo a execução de código arbitrário. **Recomendações** Para as versões 4.0.0.58 a 4.4.1.a1 do CraftBeerPi 4, atualize para uma versão posterior à 4.4.1.a1 para resolver o problema. Como solução temporária, considere desativar a função `downloadlog` até que um patch esteja disponível. Restrinja o acesso à função `os.system` para minimizar o risco de exploração. Evite usar o parâmetro `logtime` no endpoint da API afetado até que o problema seja resolvido.