CVE-2025-27142

Nome do Software Vulnerável e Versões Afetadas Versões do LocalSend anteriores à 1.17.0

Descrição O problema surge da ausência de sanitização do caminho nos endpoints "POST /api/localsend/v2/prepare-upload" e "POST /api/localsend/v2/upload", permitindo que uma solicitação maliciosa de transferência de arquivo grave arquivos em locais arbitrários no sistema. Isso pode resultar em execução remota de comandos, tipicamente através da pasta de inicialização no Windows ou de arquivos relacionados ao Bash no Linux. Se o recurso Quick Save estiver habilitado, os arquivos podem ser gravados silenciosamente sem interação explícita do usuário.

Recomendações Para versões anteriores à 1.17.0, atualize para a versão 1.17.0 para resolver o problema. Como medida temporária, considere desativar o recurso Quick Save para prevenir a gravação silenciosa de arquivos. Restrinja o acesso aos endpoints "POST /api/localsend/v2/prepare-upload" e "POST /api/localsend/v2/upload" para minimizar o risco de exploração.