CVE-2024-39943

rejetto HFS (também conhecido como HTTP File Server) versões anteriores à 0.52.10

A vulnerabilidade permite a execução de comandos do sistema operacional por usuários remotos autenticados que possuam permissões de upload. Isso ocorre porque um shell é usado para executar df com execSync em vez de spawnSync no child process no Node.js. Uma exploração de prova de conceito foi divulgada, representando uma ameaça significativa para sistemas que executam versões do HFS anteriores à 0.52.10 no Linux, UNIX e macOS.

Atualize para a versão 0.52.10 para permanecer protegido. Como solução temporária, considere restringir as permissões de upload para usuários remotos autenticados até que a atualização seja aplicada. Além disso, tenha cuidado ao usar a função execSync no Node.js, pois ela pode representar riscos de segurança se não for usada corretamente.