Versões 3.0.0 do Flow

Versões 2.3.0 a 2.3.6 do Flow

A vulnerabilidade permite o upload arbitrário de arquivos, incluindo scripts do lado do servidor, o que representa um risco de vários tipos de ataques, como divulgação de informações, instalação de backdoors e remoção de dados. Isso é possível se a aplicação desenvolvida com o Flow oferecer meios para o upload de arquivos e os arquivos de script enviados forem executados pelo servidor. O risco depende da configuração do sistema.

Para a versão 3.0.0 do Flow, considere restringir o upload de arquivos ou garantir que os arquivos enviados não sejam executados pelo servidor como medida de mitigação temporária.

Para as versões 2.3.0 a 2.3.6 do Flow, considere desativar a função MediaTypeConverter para evitar possíveis vulnerabilidades de processamento de Entidades Externas XML até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.