Nome do software vulnerável e versões afetadas:

Versões 3.0.0 do Flow

Versões 2.3.0 a 2.3.6 do Flow

Descrição:

A vulnerabilidade permite o envio arbitrário de arquivos, incluindo scripts do lado do servidor, o que representa um risco de diversos tipos de ataques, como divulgação de informações, instalação de backdoors e remoção de dados. O upload de arquivos só é possível se a aplicação desenvolvida no Flow fornecer meios para tal, e o risco depende da configuração do sistema. Se os arquivos de script enviados não forem executados pelo servidor, não há risco. Além disso, foi descoberta uma vulnerabilidade potencial no processamento de Entidades Externas XML no MediaTypeConverter.

Recomendações:

Para a versão 3.0.0 do Flow, considere restringir o upload de arquivos para impedir a execução de scripts do lado do servidor até que uma correção esteja disponível.

Para as versões 2.3.0 a 2.3.6 do Flow, considere desativar o MediaTypeConverter para evitar vulnerabilidades de processamento de Entidade Externa XML até que uma correção esteja disponível.

Como solução alternativa temporária, certifique-se de que os arquivos de script enviados não sejam executados pelo servidor para minimizar o risco de exploração.