CVE-2021-34823

**Nome do software vulnerável e versões afetadas:

Versões do ON24 ScreenShare anteriores à 2.0

Descrição:

A vulnerabilidade permite o acesso remoto a arquivos por meio de um servidor HTTP integrado, possibilitando que usuários remotos não autenticados recuperem arquivos acessíveis ao usuário do macOS conectado. Uma solicitação HTTP maliciosa pode acionar um caminho de código para baixar um arquivo de configuração de uma máquina remota via HTTP, o qual contém uma falha XXE. Essa falha permite a leitura de arquivos locais e o upload deles para máquinas remotas.

Recomendações:

Para versões anteriores à 2.0, atualize para a versão 2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o servidor HTTP integrado até que um patch esteja disponível. Restrinja o acesso a arquivos confidenciais e à configuração para minimizar o risco de exploração. Evite usar o servidor HTTP para baixar arquivos de configuração de máquinas remotas não confiáveis até que o problema seja resolvido.