Zhcy2018

**Nome do Software Vulnerável e Versões Afetadas** pyload (versões afetadas não especificadas) **Descrição** Um usuário autenticado pode obter a execução remota de código ao alterar a pasta de download e carregar um modelo manipulado nesse local. Isso é possível através do endpoint '/json/add package' usando o parâmetro `add file` para carregar um arquivo malicioso. O problema é acionado via endpoint '/render/{filename}', onde a função `render()` processa o arquivo carregado, levando ao Server-Side Template Injection (SSTI)—uma vulnerabilidade onde um invasor injeta código malicioso em um modelo que é então executado no servidor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Restrinja o acesso aos endpoints '/json/add package' e '/render/{filename}' para minimizar o risco de exploração.