St0Rmi

**Nome do software vulnerável e versões afetadas: versões do spring-boot-actuator-logview anteriores à 0.2.13 Descrição: O problema diz respeito a uma vulnerabilidade de traversal de diretório na biblioteca spring-boot-actuator-logview, que expõe um diretório de arquivos de log por meio de endpoints HTTP de administração. Tanto o `filename` a ser visualizado quanto a pasta `base` (relativa à raiz da pasta de logs) podem ser especificados por meio de parâmetros de solicitação. Embora o parâmetro `filename` fosse verificado para impedir explorações de traversal de diretório, o parâmetro da pasta `base` não era verificado de forma adequada, permitindo o acesso a arquivos fora do diretório base de logs. Por exemplo, especificar `filename=somefile&base=../` poderia permitir o acesso a um arquivo fora do diretório pretendido. Recomendações: Para versões anteriores à 0.2.13, atualize para a versão 0.2.13 ou posterior para resolver o problema. Como medida de mitigação temporária, considere remover o acesso de leitura do usuário com o qual o aplicativo é executado a qualquer diretório não necessário para a execução do aplicativo, a fim de limitar o impacto. Além disso, o acesso ao endpoint logview pode ser limitado pela implantação do aplicativo atrás de um proxy reverso.