Sentinal404

**Nome do Software Vulnerável e Versões Afetadas** Grav versões anteriores a 2.0.0-beta.2 **Descrição** Um problema de path traversal existe no componente core FormFlash. Um invasor não autenticado pode manipular o `session id` (passado através do parâmetro ` form-flash-id` em requisições POST) para percorrer o sistema de arquivos. Isso permite a criação de diretórios arbitrários e a gravação de um arquivo `index.yaml` contendo dados controlados pelo invasor. Isso pode levar à modificação não autorizada do comportamento da aplicação, problemas de integridade de dados e interrupção do serviço. O problema reside nas funções ` construct()` e `getTmpDir()` da classe `GravFrameworkFormFormFlash`, onde a falta de sanitização no `session id` permite o uso de sequências `../` para escapar para diretórios graváveis, como `user/config/`, `cache/`, `logs/` e `tmp/`. **Recomendações** Atualize para a versão 2.0.0-beta.2. Como medida paliativa temporária, restrinja as permissões de gravação do servidor web em diretórios sensíveis, como `user/config/`, para evitar a criação de novos subdiretórios.