CVE-2022-32167

Versões do Cloudreve de v1.0.0 a v3.5.3

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado por meio da funcionalidade de envio de arquivos. Um usuário com privilégios limitados pode compartilhar um arquivo com um usuário administrador, o que pode levar à escalada de privilégios.

Para as versões do Cloudreve v1.0.0 a v3.5.3, considere desativar a funcionalidade de upload de arquivos até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao recurso de compartilhamento de arquivos para minimizar o risco de escalonamento de privilégios. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.