Wavesky

Nome do software vulnerável e versões afetadas: Versões do JFinalCMS até 20240903 Descrição: Foi identificada uma falha no JFinalCMS que afeta a função `update` do componente `/admin/template/update`, especificamente o `com.cms.controller.admin.TemplateController`. A manipulação do argumento `fileName` leva a um ataque de traversal de caminho. Este problema pode ser explorado remotamente. Recomendações: Para versões até 20240903, como solução temporária, considere restringir o acesso ao endpoint `/admin/template/update` até que um patch esteja disponível. Evite usar o argumento `fileName` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.