CVE-2021-22967

Versões do Concrete CMS anteriores à 8.5.7

A vulnerabilidade permite que um usuário não autenticado acesse arquivos restritos caso tenha permissão para adicionar uma mensagem a uma conversa. Isso se deve a uma vulnerabilidade de Referência Direta a Objetos Insegura (IDOR). Para corrigir isso, foi adicionada uma verificação para confirmar se o usuário possui permissões para visualizar arquivos antes de anexá-los a uma mensagem na funcionalidade “adicionar/editar mensagem”.

Para versões anteriores à 8.5.7, atualize para a versão 8.5.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade “adicionar/editar mensagem” para minimizar o risco de exploração. Além disso, certifique-se de que os usuários tenham as permissões adequadas para visualizar arquivos antes de permitir que anexem arquivos às mensagens.