CVE-2020-25881

**Nome do software vulnerável e versões afetadas:

RKCMS versão master

Descrição:

Foi descoberta uma vulnerabilidade no parâmetro filename no endpoint “/api/v1/login” do RKCMS, embora este não esteja presente; no entanto, ela ocorre no endpoint “pathindex.php?r=cms-backend/attachment/delete&sub=&filename=../../../../111.txt&filetype=image/jpeg”. Este problema permite que um invasor execute uma traversal de diretório por meio de um arquivo .txt malicioso.

Recomendações:

Para a versão master do RKCMS, considere restringir o acesso ao parâmetro filename no endpoint afetado até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro filename com entradas não confiáveis para minimizar o risco de exploração.