CVE-2022-39367

Versões do QTIWorks anteriores à 1.0-beta15

O QTIWorks é um pacote de software para a realização de avaliações baseadas em padrões. O código responsável pelo manuseio de arquivos ZIP não verifica adequadamente os caminhos dos arquivos contidos nos arquivos ZIP, permitindo que arquivos sejam inseridos em outros locais do sistema de arquivos, caso sejam graváveis pelo processo que executa o QTIWorks Engine. Isso poderia permitir que usuários anônimos alterassem arquivos em locais arbitrários no sistema de arquivos. No entanto, em implantações normais do QTIWorks Engine, o impacto é um pouco reduzido, pois a configuração padrão do QTIWorks não habilita a funcionalidade de demonstração pública; assim, os arquivos ZIP só podem ser enviados por usuários com privilégios de “instrutor”.

Para versões anteriores à 1.0-beta15, atualize para a versão 1.0-beta15 para corrigir o problema. Não são necessárias alterações na configuração do banco de dados ao atualizar para esta versão. Como solução alternativa temporária, considere restringir o upload de arquivos ZIP a usuários confiáveis ou desativar a funcionalidade de upload de ZIP até que a atualização seja aplicada.