CVE-2020-11094

Versões do plugin debugbar do October CMS anteriores à 3.1.0

O plugin debugbar do October CMS contém um recurso que registra todas as solicitações, incluindo dados de sessão, quando ativado. Isso representa um problema se o plugin estiver ativado em um sistema acessível a usuários não confiáveis, pois eles poderiam usar esse recurso para visualizar solicitações e obter informações confidenciais, levando potencialmente à invasão de contas de usuários autenticados. Um invasor poderia, teoricamente, obter acesso total ao sistema se as condições necessárias existissem.

Para versões anteriores à 3.1.0, atualize para a versão 3.1.0 ou posterior, que bloqueia o acesso à barra de depuração e restringe o recurso que permite o acesso às informações de solicitações armazenadas por meio de uma permissão mais restritiva. Como alternativa, aplique o patch manualmente a partir de https://github.com/rainlab/debugbar-plugin/commit/86dd29f9866d712de7d98f5f9dc67751b82ecd18 caso não seja possível atualizar para a v3.1.0.