CVE-2024-24756

Versões do Crafatar anteriores à 2.1.5

O Crafatar fornece avatares do Minecraft baseados em skins para uso em aplicativos externos. Arquivos fora do diretório lib/public/ podem ser solicitados ao servidor. Instâncias executadas por trás do Cloudflare, incluindo crafatar.com, não são afetadas. No entanto, instâncias que utilizam o contêiner Docker, conforme mostrado no README, são afetadas, mas apenas os arquivos dentro do contêiner podem ser lidos. Por padrão, todos os arquivos dentro do contêiner também podem ser encontrados neste repositório e não são confidenciais.

Para versões anteriores à 2.1.5, atualize para a versão 2.1.5 para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos confidenciais fora do diretório lib/public/ até que a atualização seja aplicada.