CVE-2020-29592

**Nome do software vulnerável e versões afetadas:

Versões do Orchard anteriores à 1.10

Descrição:

O problema diz respeito a uma falha no controle de acesso nos componentes do Orchard que utilizam o recurso de upload de arquivos do editor HTML TinyMCE, permitindo que invasores enviem executáveis perigosos, contornando os tipos de arquivos permitidos. Além disso, o campo “Media Settings Allowed File Types” (Tipos de arquivos permitidos nas configurações de mídia) está vulnerável a cargas XSS, que são executadas quando os usuários tentam enviar um tipo de arquivo não permitido, fazendo com que o erro seja exibido.

Recomendações:

Para versões anteriores à 1.10, atualize para a versão 1.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de upload de arquivos no editor HTML TinyMCE e limitar os tipos de arquivos permitidos nas configurações de mídia para minimizar o risco de exploração. Evite usar o campo “Tipos de arquivos permitidos” nas configurações de mídia até que o problema seja resolvido.