CVE-2021-23772

**Nome do software vulnerável e versões afetadas:

github.com/kataras/iris versões anteriores à versão corrigida

github.com/kataras/iris/v12 versões anteriores à versão corrigida

Descrição:

O problema decorre do tratamento inseguro de nomes de arquivos durante o upload utilizando o método UploadFormFiles, o que pode permitir que invasores gravem em locais arbitrários fora da pasta de destino designada. Essa vulnerabilidade pode ser explorada por meio de ataques de traversal de diretório. A função Context.UploadFormFiles é especificamente vulnerável a esse tipo de ataque. Observa-se que essa vulnerabilidade foi mitigada nas versões 1.17 e posteriores do Go, pois elas removem os caminhos de diretório dos nomes de arquivo retornados por mime/multipart.Part.FileName.

Recomendações:

Para versões do github.com/kataras/iris anteriores à versão corrigida, considere desativar o método UploadFormFiles até que um patch esteja disponível.

Para versões do github.com/kataras/iris/v12 anteriores à versão corrigida, considere desativar o método UploadFormFiles até que um patch esteja disponível.

Como solução alternativa temporária, restrinja o tratamento de uploads de arquivos para impedir a gravação em locais arbitrários fora da pasta de destino designada.