CVE-2025-0473

Nome do Software Vulnerável e Versões Afetadas Versões 4.0.10 e superiores da Plataforma PMB

Descrição O problema reside na funcionalidade de upload de arquivos no endpoint /pmb/authorities/import/iimport authorities. Quando um arquivo é enviado por meio deste recurso, o servidor cria um arquivo temporário que deveria ser excluído após o cliente enviar uma requisição POST para /pmb/authorities/import/iimport authorities. No entanto, um atacante pode interceptar e enviar a segunda requisição POST para impedir que o arquivo temporário seja excluído. Isso permite que um atacante persista arquivos temporários no servidor.

Recomendações Para as versões 4.0.10 e superiores da Plataforma PMB, como medida de contorno temporária, considere restringir o acesso ao endpoint /pmb/authorities/import/iimport authorities para minimizar o risco de exploração. Além disso, evite utilizar a funcionalidade de upload de arquivos até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.