CVE-2021-21265

**Nome do software vulnerável e versões afetadas:

Versões do October anteriores à 1.1.2

Descrição:

A vulnerabilidade existe no October quando executado em servidores mal configurados, nos quais o servidor encaminha qualquer solicitação, independentemente do cabeçalho HOST, para uma instância do October CMS. Isso permite que ataques de envenenamento de cabeçalho de host (Host Header Poisoning) sejam bem-sucedidos. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Para mitigar o risco, recomenda-se configurar o servidor web para permitir apenas nomes de host conhecidos.

Recomendações:

Para versões anteriores à 1.1.2, atualize para a versão 1.1.2, que adiciona um recurso para permitir que um conjunto de hosts confiáveis seja especificado no aplicativo.

Como solução alternativa temporária, defina a configuração cms.linkPolicy como force.

Aplique os patches manuais de https://github.com/octobercms/library/commit/f86fcbcd066d6f8b939e8fe897409d152b11c3c6 e https://github.com/octobercms/october/commit/ f638d3f78cfe91d7f6658820f9d5e424306a3db0 à sua instalação caso não seja possível atualizar para a v1.1.2.

Verifique se o seu servidor web não aceita nenhum nome de host ao servir sua aplicação web, adicionando uma entrada chamada testing.tld ao arquivo de hosts do seu computador, direcionando-a para o endereço IP do seu servidor e garantindo que um site do October CMS não esteja disponível nesse endereço. Se um site do October CMS for retornado, configure seu servidor web para permitir apenas nomes de host conhecidos.