Shahbaz-Pucit

**Nome do software vulnerável e versões afetadas** express-fileupload versão 1.3.1 **Descrição** Uma vulnerabilidade de upload de arquivos arbitrários no módulo de upload de arquivos do express-fileupload permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso. A posição do fornecedor é que o comportamento observado só pode ocorrer com o uso indevido intencional da API, já que o middleware express-fileupload não é responsável pela lógica de negócios de um aplicativo, como determinar se ou como um arquivo deve ser renomeado. **Recomendações** Para a versão 1.3.1 do express-fileupload, considere desativar o módulo de upload de arquivos até que um patch esteja disponível para impedir a execução de código arbitrário por meio de arquivos PHP criados para esse fim. Restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração. Evite usar o módulo de upload de arquivos com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.