Sławek Naczyński

**Nome do software vulnerável e versões afetadas** Versões do SimpleSAMLphp anteriores à 1.18.6 **Descrição** O controlador de módulos em `SimpleSAMLModule` possui código para identificar caminhos que terminam em `.php` e processá-los como código PHP. No entanto, a verificação não leva em conta letras maiúsculas. Se alguém solicitar um caminho que termine com, por exemplo, `.PHP` e o servidor estiver servindo o código a partir de um sistema de arquivos que não diferencia maiúsculas de minúsculas, como no Windows, o processamento do código PHP não ocorre, e o código-fonte é, em vez disso, apresentado ao navegador. Um invasor pode usar essa vulnerabilidade para obter acesso ao código-fonte em módulos de terceiros que deveriam ser privados, ou mesmo confidenciais. A superfície de ataque é considerada pequena, pois o ataque só funcionará quando o SimpleSAMLphp servir tal conteúdo a partir de um sistema de arquivos que não seja sensível a maiúsculas e minúsculas, como no Windows. **Recomendações** Atualize a instalação do SimpleSAMLphp para a versão 1.18.6. Como solução temporária, considere restringir o acesso ao controlador de módulo em `SimpleSAMLModule` para minimizar o risco de exploração. Evite servir conteúdo a partir de um sistema de arquivos que não distingue maiúsculas de minúsculas, como no Windows, até que a vulnerabilidade seja resolvida.