CVE-2024-31453

Versões do PsiTransfer anteriores à 2.2.0

O problema decorre da ausência de restrições no endpoint “POST /files”, o que permite aos usuários criar um caminho para o upload de um arquivo em uma distribuição de arquivos. Isso permite que um invasor adicione arquivos arbitrários à distribuição, potencialmente afetando usuários que acessarem a distribuição posteriormente e expondo-os a arquivos maliciosos ou de phishing. A exploração envolve a criação de uma distribuição de arquivos, a obtenção do ID da distribuição e, em seguida, o envio de uma solicitação POST para o endpoint vulnerável com o ID especificado no cabeçalho Upload-Metadata. O invasor pode então enviar uma solicitação PATCH para fazer upload de conteúdo arbitrário.

Para versões do PsiTransfer anteriores à 2.2.0, atualize para a versão 2.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “POST /files” para minimizar o risco de exploração. Evite usar o parâmetro sid no cabeçalho Upload-Metadata até que o problema seja resolvido.