CVE-2020-12848

Pydio Cells versão 2.0.4

No Pydio Cells, quando um usuário autenticado compartilha um arquivo e seleciona a opção de criar um link público, uma conta de usuário compartilhada oculta é criada no backend com um nome de usuário aleatório. Se um usuário anônimo obtiver um link público válido, ele poderá recuperar o nome de usuário e a senha da conta oculta associada, permitindo que ele faça login no aplicativo web. Uma vez conectado com a conta de usuário oculta, ele poderá realizar ações que não estavam disponíveis através do link de compartilhamento público.

Para a versão 2.0.4 do Pydio Cells, considere desativar o recurso de compartilhamento de link público até que uma correção esteja disponível para impedir a criação de contas de usuário compartilhadas ocultas. Restrinja o acesso a ações confidenciais dentro do aplicativo web para minimizar o risco de exploração por usuários anônimos que possam ter obtido um link público válido.