Saku0512

**Nome do Software Vulnerável e Versões Afetadas** File Browser versões 2.0.0 a 2.33.8 **Description** O sistema de hooks do File Browser, que executa comandos de shell definidos pelo administrador durante eventos de arquivo como upload, renomeação e exclusão, está suscetível a injeção de comandos de SO. O problema ocorre na função `Runner.exec()` dentro do arquivo `runner/runner.go`, onde a substituição de variáveis para valores como `$FILE` e `$USERNAME` é realizada via `os.Expand` sem a devida sanitização. Um invasor autenticado com permissões de escrita de arquivos pode criar um nome de arquivo malicioso contendo metacaracteres de shell. Quando o hook é acionado, o servidor executa esses caracteres como comandos de SO arbitrários, resultando em Execução Remota de Código (RCE). Este padrão é explorável em vários eventos de hook, incluindo `before upload`, `after upload`, `before rename`, `after rename`, `before delete` e `after delete`. **Recommendations** Atualize para a versão 2.33.8 ou posterior, pois o recurso de hook é desativado por padrão a partir desta versão. Como medida paliativa temporária, desative o sistema de hooks ou restrinja o uso da função `Runner.exec()` até que o software seja atualizado.