CVE-2019-25075

Versões do Gravitee API Management anteriores à 1.25.3

O problema está relacionado à injeção de HTML combinada com traversal de caminho no serviço de e-mail, permitindo que usuários anônimos leiam arquivos arbitrários. Isso pode ser feito por meio de uma solicitação /management/users/register. A vulnerabilidade também pode permitir que invasores remotos realizem ataques de cross-site scripting (XSS).

Para versões anteriores à 1.25.3, atualize para a versão 1.25.3 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso ao endpoint /management/users/register até que um patch esteja disponível.

Evite usar o serviço de e-mail no Gravitee API Management até que o problema seja resolvido.