Shinsaku Nomura

## Resumo da vulnerabilidade **Nome do software vulnerável e versões afetadas:** Apache Struts versões 2.0.0 a 2.3.37, 2.5.0 a 2.5.33 e 6.0.0 a 6.3.0.2. **Descrição** Existe uma falha crítica na lógica de upload de arquivos do Apache Struts. Um invasor pode manipular parâmetros de upload de arquivos para permitir o traversal de caminho, levando potencialmente ao upload de um arquivo malicioso e à subsequente execução remota de código (RCE). A exploração está ocorrendo ativamente na natureza, com exploits de prova de conceito disponíveis. A exploração bem-sucedida poderia permitir que um invasor instalasse programas, visualizasse, alterasse ou excluísse dados, ou criasse novas contas com direitos de usuário plenos, dependendo dos privilégios da conta de serviço afetada. **Recomendações** Atualize para a versão 6.4.0 ou posterior e migre para o novo mecanismo de upload de arquivos. Se estiver utilizando uma configuração que não use o `FileUploadInterceptor`, o aplicativo não está vulnerável.

**Name of the Vulnerable Software and Affected Versions** Snow Monkey Forms versions v5.1.1 and earlier **Description** The issue allows a remote unauthenticated attacker to delete arbitrary files on the server due to a directory traversal vulnerability. **Recommendations** For Snow Monkey Forms versions v5.1.1 and earlier, update to a version later than v5.1.1 to resolve the issue.