CVE-2024-52600

Versões do Statmatic anteriores à 5.17.0

A vulnerabilidade permite que recursos enviados com nomes de arquivo especialmente criados sejam colocados em um local diferente do configurado, afetando formulários do front-end com campos assets e outras áreas onde recursos podem ser enviados. Isso pode, potencialmente, sobrescrever arquivos existentes no servidor. No entanto, não é possível acessar áreas fora do contêiner de recursos.

Para versões anteriores à 5.17.0, atualize para a versão 5.17.0 para resolver o problema. Como solução temporária, considere restringir as permissões de upload para minimizar o risco de exploração. Além disso, restrinja o acesso a áreas onde os ativos podem ser enviados para reduzir o impacto potencial.