Potatowo233

**Nome do software vulnerável e versões afetadas** YPay versão 1.2.0 **Descrição** Uma vulnerabilidade de envio de arquivos arbitrários permite que invasores executem código arbitrário por meio de um arquivo ZIP na função `themePutFile`, localizada em `app/common/util/Upload.php`, que é chamada a partir de `app/admin/controller/ypay/Home.php`. A extensão de um arquivo descompactado não é verificada. **Recomendações** Para a versão 1.2.0 do YPay, como solução temporária, considere desativar a função `themePutFile` em `app/common/util/Upload.php` até que um patch esteja disponível. Restrinja o acesso ao módulo `Upload.php` para minimizar o risco de exploração. Evite usar a função `themePutFile` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.