CVE-2022-27140

express-fileupload versão 1.3.1

Uma vulnerabilidade de upload de arquivos arbitrários no módulo de upload de arquivos do express-fileupload permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso. A posição do fornecedor é que o comportamento observado só pode ocorrer com o uso indevido intencional da API, já que o middleware express-fileupload não é responsável pela lógica de negócios de um aplicativo, como determinar se ou como um arquivo deve ser renomeado.

Para a versão 1.3.1 do express-fileupload, considere desativar o módulo de upload de arquivos até que um patch esteja disponível para impedir a execução de código arbitrário por meio de arquivos PHP criados para esse fim. Restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração. Evite usar o módulo de upload de arquivos com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.