CVE-2020-26118

**Nome do software vulnerável e versões afetadas:

Versões do SmartBear Collaborator Server anteriores à 13.3.13302

Descrição:

O problema decorre do uso da API do Google Web Toolkit (GWT), introduzindo uma vulnerabilidade de desserialização Java pós-autenticação. Especificamente, a classe UpdateMemento do aplicativo aceita um objeto Java serializado diretamente do usuário sem a devida sanitização. Isso permite que um objeto malicioso seja enviado ao servidor por meio de um invasor autenticado, podendo executar comandos no sistema subjacente.

Recomendações:

Para versões anteriores à 13.3.13302, considere desativar a classe UpdateMemento ou restringir seu acesso para impedir a exploração até que um patch esteja disponível. Além disso, certifique-se de que todas as entradas do usuário sejam devidamente sanitizadas para impedir que objetos maliciosos sejam enviados ao servidor. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.