CVE-2020-25237

**Nome do software vulnerável e versões afetadas:

Versões do SINEC NMS anteriores à V1.0 SP1 Update 1

Versões do SINEMA Server anteriores à V14.0 SP2 Update 2

Descrição:

Foi identificada uma vulnerabilidade que permite que um invasor crie ou sobrescreva arquivos arbitrários em um sistema afetado. Isso ocorre ao fazer upload de arquivos para o sistema usando um contêiner zip, pois o sistema não verifica corretamente se o caminho relativo dos arquivos extraídos ainda está dentro do diretório de destino pretendido. Esse tipo de problema também é conhecido como “Zip-Slip”.

Recomendações:

Para versões do SINEC NMS anteriores à V1.0 SP1 Update 1, atualize para a V1.0 SP1 Update 1 ou posterior para resolver o problema.

Para versões do SINEMA Server anteriores à V14.0 SP2 Update 2, atualize para a V14.0 SP2 Update 2 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o upload de arquivos ou limitar o acesso à função extractToFolder em FirmwareFileUtils até que um patch esteja disponível.