CVE-2021-43802

**Nome do software vulnerável e versões afetadas:

Versões do Etherpad anteriores à 1.8.16

Descrição:

O Etherpad é um editor colaborativo em tempo real. Nas versões anteriores à 1.8.16, um invasor pode criar um arquivo *.etherpad que, quando importado, pode permitir que ele obtenha privilégios de administrador na instância do Etherpad. Isso, por sua vez, pode ser usado para instalar um plugin malicioso do Etherpad capaz de executar código arbitrário, incluindo comandos do sistema. Para obter privilégios, o invasor deve ser capaz de acionar a exclusão do estado express-session ou aguardar que o estado antigo express-session seja limpo. O Etherpad básico não exclui nenhum estado express-session, portanto, os únicos ataques conhecidos requerem um plugin capaz de excluir o estado da sessão ou um processo de limpeza personalizado, como uma tarefa cron que exclua registros antigos de sessionstorage:*.

Recomendações:

Para versões anteriores à 1.8.16, atualize para a versão 1.8.16 para corrigir o problema.

Como solução alternativa temporária, considere configurar proxies reversos para rejeitar solicitações para “/p/*/import” a fim de bloquear todas as importações.

Limite todos os usuários ao acesso somente leitura para minimizar o risco de exploração.

Impedir a reutilização de valores de cookies express sid que se referem ao estado express-session excluído.