CVE-2021-37794

**Nome do software vulnerável e versões afetadas:

Versões do FileBrowser anteriores à 2.16.0

Descrição:

Existe uma vulnerabilidade de script entre sites (XSS) armazenada que permite que um usuário autenticado faça o upload de um arquivo .svg malicioso, que atua como uma carga útil de XSS armazenada. Se acionada por um administrador, essa carga útil pode executar comandos maliciosos do sistema operacional no servidor que executa a instância do FileBrowser.

Recomendações:

Para versões anteriores à 2.16.0, atualize para a versão 2.16.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de enviar arquivos .svg ou desativar o recurso de envio para usuários autenticados até que um patch seja aplicado. Restrinja o acesso à instância do FileBrowser para minimizar o risco de exploração.