CVE-2020-35580

**Nome do software vulnerável e versões afetadas:

Versões do SearchBlox anteriores à 9.2.2

Descrição:

Uma falha de inclusão de arquivo local no FileServlet permite que usuários remotos não autenticados leiam arquivos arbitrários do sistema operacional por meio de uma solicitação “/searchblox/servlet/FileServlet?col=url=”. Isso pode ser usado para ler o conteúdo do arquivo de configuração do SearchBlox, que contém a chave API do Super Admin e os hashes de senha SHA1 codificados em base64 de outros usuários do SearchBlox.

Recomendações:

Para versões anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao FileServlet para minimizar o risco de exploração. Evite usar os parâmetros col e url no endpoint da API afetado até que o problema seja resolvido.