CVE-2014-9609

**Nome do software vulnerável e versões afetadas:

Netsweeper versões 3.1.10 e anteriores, 4.0.x a 4.0.8, 4.1.x a 4.1.1

Descrição:

A vulnerabilidade permite que invasores remotos listem o conteúdo de diretórios por meio do caractere .. (dois pontos) no parâmetro log de uma ação de estatísticas. Isso se deve a uma vulnerabilidade de traversal de diretório no arquivo webadmin/reporter/view server log.php.

Recomendações:

Para as versões 3.1.10 e anteriores, atualize para a versão 3.1.10 ou posterior.

Para as versões 4.0.x a 4.0.8, atualize para a versão 4.0.9 ou posterior.

Para as versões 4.1.x a 4.1.1, atualize para a versão 4.1.2 ou posterior.

Como solução temporária, considere restringir o acesso ao arquivo vulnerável webadmin/reporter/view server log.php até que um patch esteja disponível.

Evite usar o parâmetro log no endpoint da API afetado até que o problema seja resolvido.