CVE-2020-29556

**Nome do software vulnerável e versões afetadas:

Versões do Grav CMS até a 1.7.0-rc.17

Descrição:

A vulnerabilidade no Grav CMS permite que um invasor leia arquivos locais arbitrários no servidor usando uma técnica de traversal de caminho. Isso pode ser explorado tanto por invasores autenticados quanto não autenticados devido à falta de proteção contra CSRF. Além disso, o componente Scheduler está vulnerável à execução de comandos do sistema ao induzir um administrador a visitar um site malicioso, também explorando falhas de CSRF.

Recomendações:

Para as versões do Grav CMS até 1.7.0-rc.17, atualize para uma versão que corrija as vulnerabilidades de traversal de caminho e CSRF para impedir a leitura arbitrária de arquivos e a execução de comandos do sistema.

Como solução alternativa temporária, considere restringir o acesso à funcionalidade de Backup e ao componente Scheduler para minimizar o risco de exploração.