CVE-2020-15128

Versões do OctoberCMS anteriores à 1.0.468

O problema diz respeito a valores de cookies criptografados que não estão vinculados ao nome do cookie, o que pode permitir que certos tipos de ataques sejam bem-sucedidos caso existam outras vulnerabilidades no código voltado para o usuário. Especificamente, se a entrada do usuário for armazenada em um cookie e devolvida ao usuário, ele poderá usar o cookie gerado no lugar de cookies mais rigidamente controlados. Alternativamente, se a versão em texto simples de um cookie criptografado for exposta ao usuário, ele poderá fornecer conteúdo criptografado do aplicativo de volta a ele como um cookie criptografado, forçando a estrutura a descriptografá-lo.

Para versões anteriores à 1.0.468, atualize para a versão 1.0.468 ou posterior para corrigir o problema. Como solução alternativa temporária, considere aplicar manualmente o patch disponível em https://github.com/octobercms/library/commit/28310d4fb336a1741b39498f4474497644a6875c à sua instalação, caso não seja possível atualizar para a Build 468. Observe que, se estiver usando o driver de sessão de cookies, todos os dados da sessão serão invalidados, e os usuários precisarão fazer login novamente assim que a sessão atual expirar.