Xinjiuw

Nome do software vulnerável e versões afetadas: JFinalCMS até 20240903 Descrição: Foi encontrada uma vulnerabilidade na função update do arquivo /admin/template/update do componente com.cms.util.TemplateUtils. A manipulação do argumento `fileName` leva a um traversal de caminho. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. Recomendações: Para o JFinalCMS até a versão 20240903, como solução temporária, considere restringir o acesso ao componente `com.cms.util.TemplateUtils` até que um patch esteja disponível. Evite usar o argumento `fileName` no endpoint da API afetado `/admin/template/update` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.