Tyler Sullivan

**Nome do software vulnerável e versões afetadas** Versões 3.4.0 a 3.12.0 do GeoNetwork Versões 4.0.0 a 4.0.3 do GeoNetwork **Descrição** Um invasor com privilégios pode usar o script pré-execução do coletor de diretórios para executar comandos arbitrários do sistema operacional remotamente na infraestrutura de hospedagem. Isso requer uma conta de usuário administrador ou de administrador. A vulnerabilidade ocorre no método `runBeforeScript` em `harvesters/src/main/java/org/fao/geonet/kernel/harvest/harvester/localfilesystem/LocalFilesystemHarvester.java`. **Recomendações** Para as versões 3.4.0 a 3.12.0 do GeoNetwork, atualize para a versão 3.12.0 ou posterior. Para as versões 4.0.0 a 4.0.3 do GeoNetwork, atualize para a versão 4.0.4 ou posterior. Como solução alternativa temporária, considere desativar o método `runBeforeScript` na classe `LocalFilesystemHarvester` até que um patch esteja disponível.