CVE-2020-28337

**Nome do software vulnerável e versões afetadas:

Microweber versões 1.1.20 e anteriores

Descrição:

Uma vulnerabilidade de traversal de diretório no módulo Utils/Unzip permite que um invasor autenticado execute código remotamente por meio do recurso de restauração de backup. Para explorar essa vulnerabilidade, o invasor deve possuir credenciais de usuário administrativo, fazer upload de um arquivo ZIP maliciosamente criado com caminhos relativos (por exemplo, ../../), mover esse arquivo para o diretório de backup e executar uma restauração nesse arquivo.

Recomendações:

Para as versões 1.1.20 e anteriores do Microweber, atualize para uma versão posterior à 1.1.20 para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao recurso de restauração de backup e ao módulo Utils/Unzip para minimizar o risco de exploração. Evite usar o recurso de restauração de backup com arquivos ZIP não confiáveis até que a vulnerabilidade seja resolvida.