CVE-2021-43800

**Nome do software vulnerável e versões afetadas:

Versões do Wiki.js anteriores à 2.5.254

Descrição:

A vulnerabilidade permite a traversal de diretórios fora do contexto do Wiki.js quando um módulo de armazenamento com busca de cache de ativos locais está habilitado em um host Windows. Um usuário mal-intencionado pode potencialmente ler qualquer arquivo no sistema de arquivos criando uma URL especial que permita a traversal de diretórios. Isso só é possível em um servidor Wiki.js rodando no Windows, quando um módulo de armazenamento que implementa cache de ativos locais está habilitado e nenhuma solução de firewall de aplicativos web bloqueia URLs potencialmente maliciosas.

Recomendações:

Para versões anteriores à 2.5.254, atualize para a versão 2.5.254 ou posterior, que inclui uma correção que sanitiza o caminho antes de ele ser passado para o módulo de armazenamento, removendo quaisquer sequências de traversal de diretório do Windows.

Como solução alternativa temporária, considere desativar qualquer módulo de armazenamento com recursos de cache de ativos locais, como o Sistema de Arquivos Local ou o Git, até que a atualização seja aplicada.