Taylorotwell

**Nome do software vulnerável e versões afetadas** Versões do Laravel de 6.20.45 a 11.31.0 **Descrição** O problema está relacionado à diretiva register argc argv do PHP estar definida como ativada, permitindo que usuários alterem o ambiente utilizado pela estrutura ao processar solicitações com uma string de consulta especialmente criada. Isso pode levar a acesso não autorizado e adulteração de dados. Mais de 830.000 instâncias estão potencialmente afetadas. **Recomendações** Para as versões 6.20.45 a 11.31.0, atualize para a versão mais recente, na qual a estrutura agora ignora os valores de argv para detecção de ambiente em SAPIs não-CLI. Como solução temporária, considere definir a diretiva register argc argv do PHP como desativada até que um patch esteja disponível. Restrinja o acesso a áreas sensíveis do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OctoberCMS anteriores à 1.0.468 **Descrição** O problema diz respeito a valores de cookies criptografados que não estão vinculados ao nome do cookie, o que pode permitir que certos tipos de ataques sejam bem-sucedidos caso existam outras vulnerabilidades no código voltado para o usuário. Especificamente, se a entrada do usuário for armazenada em um cookie e devolvida ao usuário, ele poderá usar o cookie gerado no lugar de cookies mais rigidamente controlados. Alternativamente, se a versão em texto simples de um cookie criptografado for exposta ao usuário, ele poderá fornecer conteúdo criptografado do aplicativo de volta a ele como um cookie criptografado, forçando a estrutura a descriptografá-lo. **Recomendações** Para versões anteriores à 1.0.468, atualize para a versão 1.0.468 ou posterior para corrigir o problema. Como solução alternativa temporária, considere aplicar manualmente o patch disponível em https://github.com/octobercms/library/commit/28310d4fb336a1741b39498f4474497644a6875c à sua instalação, caso não seja possível atualizar para a Build 468. Observe que, se estiver usando o driver de sessão de cookies, todos os dados da sessão serão invalidados, e os usuários precisarão fazer login novamente assim que a sessão atual expirar.