CVE-2021-23835

**Nome do software vulnerável e versões afetadas:

Versões do flatCore anteriores à 2.0.0 build 139

Descrição:

Foi identificada uma vulnerabilidade de divulgação de arquivos locais no parâmetro docs file do corpo da solicitação HTTP para a interface acp. Isso pode ser explorado com direitos de acesso de administrador, permitindo a recuperação de arquivos confidenciais do servidor backend, como /etc/passwd, arquivos de banco de dados SQLite e código-fonte PHP, devido ao parâmetro afetado aceitar entradas maliciosas do usuário sem a devida sanitização.

Recomendações:

Para versões anteriores à 2.0.0 build 139, considere desativar o parâmetro docs file na interface acp até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à interface acp para minimizar o risco de divulgação de arquivos confidenciais. Evite usar o parâmetro docs file no corpo da solicitação HTTP afetada até que o problema seja resolvido.