Szczepan Hołyszewski

**Nome do Software Vulnerável e Versões Afetadas** Versões do Carbon anteriores a 3.8.4 Versões do Carbon anteriores a 2.72.6 **Descrição** O problema surge quando aplicações passam entrada de usuário não sanitizada para `Carbon::setLocale`, colocando-as em risco de inclusão arbitrária de arquivos. Se a aplicação permitir que usuários façam upload de arquivos com a extensão `.php` em uma pasta que permite que `include` ou `require` a leiam, haverá risco de execução arbitrária de código em seus servidores. **Recomendações** Para versões anteriores a 3.8.4, atualize para a versão 3.8.4 ou posterior. Para versões anteriores a 2.72.6, atualize para a versão 2.72.6 ou posterior. Como solução temporária, considere validar a entrada antes de chamar `setLocale()`, proibindo ou removendo `/` e ``. Alternativamente, chame `setLocale()` apenas com um locale de uma lista branca de locales suportados. Ao fazer upload de arquivos, renomeie-os para que não possuam a extensão `.php`. Prefira sistemas de armazenamento que não sejam locais à aplicação, como serviços remotos ou serviços locais executados por outro usuário.