CVE-2020-14209

Versões do Dolibarr anteriores à 11.0.5

A vulnerabilidade permite que usuários com privilégios limitados enviem arquivos de tipos perigosos, levando à execução arbitrária de código. Isso é possível porque arquivos com extensões .pht e .phar podem ser enviados. Além disso, um arquivo .htaccess pode ser enviado para reconfigurar o controle de acesso, como permitir que arquivos .noexe sejam executados como código PHP, contornando assim o mecanismo de proteção .noexe.

Para versões anteriores à 11.0.5, atualize para a versão 11.0.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos apenas a usuários confiáveis e desativar a execução de arquivos .pht, .phar e .noexe como código PHP até que um patch seja aplicado. Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração.