CVE-2020-15135

Versões do save-server anteriores à 1.0.7

O problema diz respeito a uma vulnerabilidade CSRF devido à falta de medidas de mitigação contra CSRF. Essa vulnerabilidade permite que usuários mal-intencionados realizem ações como fazer upload, excluir arquivos e adicionar redirecionamentos, caso o usuário tenha uma sessão ativa com o save-server. Se o usuário estiver conectado como root, o ataque é mais grave, permitindo que o usuário mal-intencionado crie, exclua e atualize usuários, incluindo a alteração de senhas. Isso pode levar ao acesso não autorizado a arquivos. A vulnerabilidade é corrigida através da implementação do padrão de cookie de envio duplo.

Para versões anteriores à 1.0.7, atualize para a versão 1.0.7 ou superior para resolver o problema. Como solução temporária, considere restringir o acesso a ações confidenciais até que a atualização seja aplicada. Evite usar o save-server com uma sessão ativa enquanto navega em sites potencialmente maliciosos para minimizar o risco de exploração.