CVE-2026-49133

Nome do Software Vulnerável e Versões Afetadas Typemill versões anteriores a 2.24.0

Description Atacantes autenticados com privilégios de nível de Autor podem ler arquivos arbitrários fora do diretório de conteúdo. Isso é possível ao fornecer sequências de travessia no parâmetro de consulta path passado para a função getFile() dentro da classe Storage quando um argumento de pasta vazio é utilizado. Esta ação ignora os controles de prevenção de travessia implementados na função getFolderPath().

Recommendations Atualize para a versão 2.24.0 ou posterior. Como medida paliativa temporária, restrinja o acesso à função getFile() ou monitore o parâmetro path em busca de sequências de travessia.