CVE-2021-39433

**Nome do software vulnerável e versões afetadas:

BIQS IT Biqs-drive versões 1.83 e anteriores

Descrição:

Existe uma vulnerabilidade de inclusão de arquivo local (LFI) ao enviar uma carga útil específica como parâmetro file para o endpoint “download/index.php”. Isso permite que um invasor leia arquivos arbitrários do servidor com as permissões do usuário web configurado.

Recomendações:

Para as versões 1.83 e anteriores do BIQS IT Biqs-drive, considere desativar o acesso ao endpoint “download/index.php” até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o parâmetro file para impedir a leitura arbitrária de arquivos.