CVE-2024-4701

Versões do Genie anteriores à 4.3.18

Existe uma falha de traversal de caminho no Genie que pode levar à execução remota de código. A falha decorre de uma vulnerabilidade na API que aceita uploads de arquivos via multipart/form-data. A API utiliza um nome de arquivo fornecido pelo usuário ao gravar arquivos no disco, permitindo que um agente mal-intencionado manipule o nome do arquivo para realizar o traversal de caminho. Essa manipulação pode permitir a gravação de arquivos com nomes e conteúdos especificados pelo usuário em locais arbitrários no sistema de arquivos onde o processo Java tenha acesso de gravação. Usuários que não armazenam anexos de arquivos localmente não são afetados. A vulnerabilidade afeta instâncias do Genie OSS que dependem do sistema de arquivos para armazenar anexos enviados ao aplicativo.

Atualize para a versão 4.3.18 do Genie OSS.