Xxyphackss

**Nome do software vulnerável e versões afetadas** Novel-Plus versões 4.3.0-RC1 e anteriores **Descrição** Existe uma vulnerabilidade de upload arbitrário de arquivos na função `uploadImg()` do `SysUserController` em `com.java2nb.system.controller.SysUserController`. Isso permite que um invasor passe um parâmetro `filename` especialmente criado para realizar o download arbitrário de arquivos. **Recomendações** Para as versões 4.3.0-RC1 e anteriores do Novel-Plus, como solução temporária, considere desativar a função `uploadImg()` até que um patch esteja disponível. Restrinja o acesso ao `SysUserController` para minimizar o risco de exploração. Evite usar o parâmetro `filename` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.