CVE-2020-15239

Versões do xmpp-http-upload anteriores à 0.4.0

A vulnerabilidade permite que invasores leiam arquivos com a extensão .data acompanhados por um arquivo JSON com a extensão .meta quando o método GET é atacado. Isso pode levar à divulgação de informações e, em alguns cenários de hospedagem compartilhada, também à burla da autenticação ou de outras limitações no tráfego de saída. Em um cenário em que um único servidor tenha várias instâncias da aplicação em execução, um invasor que tenha conhecimento da estrutura de diretórios é capaz de ler arquivos de qualquer outra instância à qual o processo tenha acesso de leitura. Se as instâncias tiverem autenticação individual ou outras restrições, os invasores podem contornar esses limites usando o Traversal de Diretório para recuperar dados de outras instâncias. Se o servidor XMPP associado ou qualquer pessoa que conheça a SECRET KEY for mal-intencionada, ela poderá gravar arquivos fora do DATA ROOT, restritos a ter as extensões .meta e .data.

Para versões anteriores à 0.4.0, atualize para a versão 0.4.0 para resolver o problema. Como solução alternativa temporária, considere configurar o Apache para filtrar caminhos maliciosos ao usar proxy reverso. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite usar a SECRET KEY em contextos inseguros até que o problema seja resolvido.