CVE-2020-29555

**Nome do software vulnerável e versões afetadas:

Grav CMS versões 1.7.0-rc.17 e anteriores

Descrição:

A vulnerabilidade permite que um invasor autenticado exclua arquivos arbitrários no servidor usando uma técnica de traversal de caminho. Além disso, um invasor não autenticado pode explorar essa vulnerabilidade devido à falta de proteção contra CSRF. O componente Scheduler também pode ser explorado induzindo um administrador a visitar um site malicioso, permitindo que um invasor execute comandos do sistema.

Recomendações:

Para as versões 1.7.0-rc.17 e anteriores do Grav CMS, considere desativar a funcionalidade BackupDelete e restringir o acesso ao componente Scheduler até que um patch esteja disponível. Como solução temporária, implemente proteção CSRF para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.