CVE-2025-56815

Nome do Software Vulnerável e Versões Afetadas Datart versão 1.0.0-rc.3

Descrição O software está suscetível a uma vulnerabilidade de Travessia de Diretório através de um upload de arquivo sem restrições. O servidor utiliza MultipartFile.transferTo() para salvar arquivos enviados em um caminho controlável pelo usuário sem validação suficiente do nome do arquivo. Isso permite a potencial manipulação do local de salvamento do arquivo. O endpoint da API vulnerável é /viz/image utilizando o método POST. O objeto MultipartFile é utilizado no processo.

Recomendações Aplique validação rigorosa ao nome do arquivo antes de salvar o arquivo enviado para prevenir a travessia de diretório.