Versões do domokeeper (todas)

A vulnerabilidade permite a inclusão de arquivos locais (Local File Inclusion), em que a rota /plugin/ passa um parâmetro GET não sanitizado para uma chamada require(), retornando a saída na resposta do servidor. Isso poderia permitir que invasores carregassem código indesejado ou extraíssem informações de arquivos .json.

Para todas as versões, considere usar um pacote alternativo até que uma correção seja disponibilizada. Como solução temporária, considere restringir o acesso à rota /plugin/ para minimizar o risco de exploração. Evite usar a função require() com entradas não sanitizadas até que o problema seja resolvido.