CVE-2020-15248

Versões do October CMS de 1.0.319 a 1.0.470

O October CMS é uma plataforma CMS gratuita, de código aberto e auto-hospedada, baseada no framework PHP Laravel. Nas versões afetadas, usuários de backend com a função padrão do sistema “Publisher” têm acesso para criar e gerenciar usuários, permitindo-lhes escolher qual função o novo usuário terá. Isso significa que um usuário com acesso “Publisher” tem a capacidade de elevar seu acesso para “Developer”.

Para as versões 1.0.319 a 1.0.470, atualize para a Build 470 (v1.0.470) ou v1.1.1 para resolver o problema.

Como solução alternativa temporária para versões que não podem ser atualizadas para a Build 470 ou v1.1.1, aplique o patch manual disponível em https://github.com/octobercms/october/commit/78a37298a4ed4602b383522344a31e311402d829 à sua instalação.