CVE-2020-11467

Versões do Deskpro anteriores à 2019.8.0

Foi detectada uma falha no Deskpro que permite aos administradores modificar a interface do helpdesk editando os modelos de tema em /portal/api/style/edit-theme-set/template-sources, utilizando o TWIG como mecanismo de modelos. Embora o acesso direto às variáveis self e self não seja permitido, um invasor pode abusar das variáveis acessíveis em seu contexto para alcançar uma função nativa unserialize por meio do parâmetro code. Ao passar uma carga maliciosa, um invasor pode acionar um conjunto de gadgets POP para conseguir a execução remota de código.

Para versões anteriores à 2019.8.0, atualize para a versão 2019.8.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /portal/api/style/edit-theme-set/template-sources para minimizar o risco de exploração. Além disso, evite usar o parâmetro code no endpoint da API afetado até que o problema seja resolvido.