CVE-2021-43840

**Nome do software vulnerável e versões afetadas:

versões do message bus anteriores à 3.3.7

Descrição:

O problema é um bug de traversal de caminho que pode levar à divulgação de informações confidenciais em uma máquina caso um usuário não autorizado obtenha acesso à rota de diagnóstico. Esse bug afeta implantações com recursos de diagnóstico ativados, que por padrão estão desativados. O impacto é maior se não houver um proxy para a aplicação web, pois o número de níveis de diretórios a subir não é limitado. Para implantações que utilizam um proxy, o impacto varia. Por exemplo, se uma solicitação passar por um proxy como o Nginx com merge slashes ativado, o número de níveis de diretórios que podem ser lidos é limitado a 3 níveis.

Recomendações:

Para versões anteriores à 3.3.7, atualize para a versão 3.3.7 para resolver o problema.

Como solução alternativa temporária, considere desativar o MessageBus::Diagnostics em ambientes de produção até que um patch seja aplicado.