CVE-2025-52922

Nome do Software Vulnerável e Versões Afetadas: Versões do Innoshop 0.4.1 e anteriores

Descrição: O problema permite traversal de diretório via endpoints da API do FileManager, como "/api/file manager/files?base folder=", "/api/file manager/directories", "/api/file manager/copy files" e "/api/file manager/move files". Um atacante autenticado com acesso ao painel administrativo poderia explorar isso para mapear a estrutura do sistema de arquivos, criar diretórios arbitrários, ler arquivos arbitrários, excluir arquivos arbitrários via uma requisição DELETE para "/api/file manager/files", ou criar arquivos arbitrários no servidor.

Recomendações: Para as versões do Innoshop 0.4.1 e anteriores, como uma medida temporária (workaround), considere restringir o acesso aos endpoints da API do FileManager, especificamente "/api/file manager/files?base folder=", "/api/file manager/directories", "/api/file manager/copy files" e "/api/file manager/move files", para minimizar o risco de exploração. Além disso, limite a capacidade de upload e movimentação de arquivos utilizando o endpoint "/api/file manager/move files". No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.