CVE-2021-23814

**Nome do software vulnerável e versões afetadas:

unisharp/laravel-filemanager versões anteriores à 2.6.2

Descrição:

O problema decorre da validação insuficiente dos tipos de arquivo durante o processo de upload, especificamente na função upload(). Isso permite que um invasor possa fazer o upload de arquivos maliciosos, como webshells, capturando e editando a solicitação de upload. As etapas de exploração incluem instalar o pacote em uma aplicação web Laravel, acessar a janela de upload, fazer o upload de um arquivo de imagem, capturar a solicitação, editá-la para incluir um arquivo malicioso e, em seguida, acessar o caminho do arquivo enviado para conseguir a execução remota de código. A prevenção pode ser alcançada usando uma lista de permissões no arquivo de configuração (lfm.php), com documentação disponível.

Recomendações:

Para versões anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior para resolver o problema.

Como solução temporária, considere usar uma lista de permissões no arquivo de configuração (lfm.php) para impedir extensões inválidas até que um patch seja aplicado.

Restrinja o acesso à funcionalidade de upload para minimizar o risco de exploração.