CVE-2021-29246

**Nome do software vulnerável e versões afetadas:

Versões do BTCPay Server de 1.0.0 a 1.0.7.0

Descrição:

A vulnerabilidade permite que um invasor com privilégios de administrador execute código por meio de traversal de diretório. Isso é feito criando um arquivo de plugin malicioso com caracteres especiais para fazer o upload do arquivo fora do diretório restrito.

Recomendações:

Para as versões 1.0.0 a 1.0.7.0 do BTCPay Server, considere desativar o recurso de upload de plug-ins até que uma correção esteja disponível para impedir a possível execução de código.

Restrinja o acesso ao painel de administração para minimizar o risco de exploração por usuários não autorizados.

Evite usar caracteres especiais nos nomes dos arquivos de plug-ins para reduzir o risco de traversal de diretório.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.